Ontwikkeling van technologie voor het beschermen van informatie in draadloze netwerken. Wi-Fi-netwerken en bedreigingen voor de informatiebeveiliging
Wit-Russov Dmitri Ivanovitsj
Koresjkov Michail Sergejevitsj
LLC "RICOM" Moskou
Wi-Fi-netwerken en bedreigingen voor de informatiebeveiliging
Het artikel bespreekt directe en indirecte bedreigingen voor de informatiebeveiliging die ontstaan in verband met de ontwikkeling van draadloze WiFi-toegangstechnologie. Er is aangetoond dat het gebruik van WiFi-technologie niet alleen een bedreiging kan vormen voor informatie die rechtstreeks via WiFi-apparatuur wordt verzonden, maar ook voor spraakinformatie in de faciliteit.
Het wijdverbreide gebruik van draadloze datanetwerken op basis van IEEE 802.11-technologie, beter bekend als WiFi, kan niet anders dan de aandacht trekken van specialisten op het gebied van informatiebeveiliging op het gebied van faciliteiten. Met dit artikel willen de auteurs lezers kennis laten maken met de resultaten van onderzoek naar nieuwe bedreigingen voor de informatiebeveiliging van een object die verband houden met WiFi-netwerken.
Aanvankelijk was de WiFi-technologie gericht op het organiseren van snelle internettoegangspunten (hotspots) voor mobiele gebruikers. De technologie maakt gelijktijdige toegang van een groot aantal abonnees tot internet mogelijk, voornamelijk op openbare plaatsen (luchthavens, restaurants, enz.). De voordelen van draadloze toegang liggen voor de hand, vooral omdat WiFi-technologie aanvankelijk een de facto standaard werd en fabrikanten van mobiele computers geen problemen meer hebben met de compatibiliteit tussen toegangspunten en mobiele apparaten.
Geleidelijk verspreidden WiFi-netwerken zich naar grote en kleine kantoren om bedrijfsnetwerken of subnetten te organiseren.
Tegelijkertijd begonnen grote telecomoperatoren hun eigen diensten te ontwikkelen om betaalde draadloze internettoegang op basis van WiFi-technologie aan te bieden. Dergelijke netwerken bestaan uit een groot aantal toegangspunten die dekkingsgebieden van hele stadsgebieden organiseren, vergelijkbaar met mobiele communicatie.
Als gevolg hiervan zijn er tegenwoordig in elke grote stad, naast vrijwel elk object, op zijn minst meerdere WiFi-netwerken met hun eigen toegangspunten en clients, waarvan het aantal honderden kan bereiken.
Laten we verder kijken naar de bedreigingen voor de informatiebeveiliging die zich voordoen in verband met het gebruik van WiFi-netwerken. Alle bedreigingen kunnen in twee klassen worden verdeeld:
- direct - bedreigingen voor de informatiebeveiliging die ontstaan bij het verzenden van informatie via de IEEE 802.11 draadloze interface;
- indirect - bedreigingen die verband houden met de aanwezigheid van een groot aantal WiFi-netwerken op de site en in de buurt van de site, die kunnen worden gebruikt om informatie te verzenden, inclusief informatie die ongeoorloofd is ontvangen.
Indirecte bedreigingen zijn relevant voor absoluut alle organisaties en vormen, zoals hieronder zal worden aangetoond, niet alleen een gevaar voor informatie die in computernetwerken wordt verwerkt, maar vooral ook voor spraakinformatie.
Laten we eens kijken naar directe bedreigingen. Om een draadloos communicatiekanaal in WiFi-technologie te organiseren, wordt een interface voor radiogegevensoverdracht gebruikt. Als kanaal voor informatieoverdracht is het potentieel gevoelig voor ongeoorloofde interventie met als doel informatie te onderscheppen, te vervormen of te blokkeren.
Bij de ontwikkeling van WiFi-technologie is rekening gehouden met enkele informatiebeveiligingsproblemen, maar zoals de praktijk laat zien, is dit niet voldoende.
Talloze ‘gaten’ in de WiFi-beveiliging hebben aanleiding gegeven tot een aparte trend in de computerhackindustrie, het zogenaamde wardriving. Wardrivers zijn mensen die de WiFi-netwerken van anderen hacken uit ‘sportbelang’, wat het gevaar van de dreiging echter niet vermindert.
Hoewel WiFi-technologie authenticatie en encryptie biedt om verkeer te beschermen tegen onderschepping op de datalinklaag, zijn deze beveiligingsfuncties niet effectief genoeg.
Ten eerste vermindert het gebruik van encryptie de snelheid van de informatieoverdracht over het kanaal verschillende keren, en vaak wordt encryptie opzettelijk uitgeschakeld door netwerkbeheerders om het verkeer te optimaliseren. Ten tweede is het gebruik van de tamelijk gebruikelijke WEP-encryptietechnologie in WiFi-netwerken lange tijd in diskrediet gebracht vanwege zwakke punten in het RC4-algoritme voor sleuteldistributie, dat in combinatie met WEP wordt gebruikt. Er zijn talloze programma's waarmee u “zwakke” WEP-sleutels kunt selecteren. Deze aanval werd FMS genoemd, naar de eerste letters van de initialen van de ontwikkelaars. Elk pakket dat een zwakke sleutel bevat, heeft een kans van 5% om één byte van de geheime sleutel te achterhalen. Het totale aantal pakketten dat een aanvaller moet verzamelen om een aanval uit te voeren, hangt dus voornamelijk af van de mate van geluk. Gemiddeld zijn er ongeveer zes miljoen gecodeerde pakketten nodig om te kraken. Hackers van de H1kari van DasbOden Labs hebben het FMS-algoritme versterkt, waardoor het aantal benodigde pakketten is teruggebracht van zes miljoen naar 500.000. En in sommige gevallen wordt een 40/104-bits sleutel gekraakt met slechts drieduizend pakketten, wat het mogelijk maakt om zelfs thuistoegangspunten aan te vallen zonder ze te belasten met overmatig verkeer.
Als er weinig of geen communicatie is tussen legitieme clients en het toegangspunt, kan een aanvaller het slachtoffer dwingen grote hoeveelheden verkeer te genereren zonder zelfs maar de geheime sleutel te kennen. Het is voldoende om simpelweg het juiste pakket te onderscheppen en het, zonder het te decoderen, opnieuw door te geven.
Apparatuurontwikkelaars reageerden behoorlijk adequaat en veranderden het algoritme voor het genereren van initialisatievectoren zodat zwakke sleutels niet langer verschenen.
In augustus 2004 demonstreerde een hacker genaamd KoreK de broncode van een nieuwe cryptanalyzer die zelfs sterke initialisatievectoren kon doorbreken. Om een 40-bits sleutel te herstellen had hij slechts 200.000 pakketten met unieke initialisatievectoren nodig, en voor een 104-bits sleutel 500.000. Het aantal pakketten met unieke vectoren bedraagt gemiddeld ongeveer 95% van het totale aantal gecodeerde pakketten, dus een aanvaller zal zeer weinig tijd nodig hebben om de sleutel te herstellen.
De nieuwe WiFi-apparatuur maakt gebruik van WPA-technologie – WiFi Protected Access (beschermde WiFi-toegang), waarbij de veiligheid van draadloze apparaten opnieuw is verbeterd. WEP is gekomen om te vervangen TKIP (Temporal Key Integrity Protocol)-rotocol), waarbij dynamische sleutels worden gegenereerd die elkaar met een kort tijdsinterval vervangen. Ondanks de relatieve nieuwigheid van deze technologie bevatten sommige hackerhulpprogramma's al een speciale module die een van de protocolsleutels weergeeft. Voor een ongeautoriseerde verbinding met een toegangspunt beschermd door WPA-technologie bleek dit voldoende.
De IEEE 802.11i-standaard beschrijft een geavanceerder beveiligingssysteem (bekend als WPA2) gebaseerd op het cryptografische algoritme AES. Er zijn nog geen kant-en-klare hulpprogramma's om het in open vorm te hacken, dus u kunt zich veilig voelen met deze technologie. Ze houdt het tenminste nog een tijdje vol.
De dreiging van het blokkeren van informatie in een WiFi-kanaal werd vrijwel genegeerd bij de ontwikkeling van de technologie, en dat is tevergeefs. Natuurlijk is het blokkeren van een kanaal op zichzelf niet gevaarlijk, aangezien WiFi-netwerken bijna altijd hulpdiensten zijn, maar het blokkeren is vaak slechts een voorbereidende fase voor een man-in-the-middle-aanval, wanneer er een derde apparaat tussen de client en de toegangspoort verschijnt. punt, dat het verkeer tussen henzelf omleidt. In dit geval bestaat er niet alleen een dreiging van het onderscheppen van informatie, maar ook van de vervorming ervan. Er zijn op zijn minst verschillende verwerkte aanvallen op WiFi-netwerken bekend die verband houden met Denial of Service (DOS), maar in het kader van dit artikel zullen we niet ingaan op hun overwegingen, we zullen ons beperken tot het alleen vermelden van de aanwezigheid van echte bedreigingen.
Laten we verder gaan met het overwegen van indirecte bedreigingen voor de informatiebeveiliging van een object die direct verband houden met WiFi-technologie.
WiFi-netwerkkanalen zijn om een aantal redenen uiterst aantrekkelijk voor gebruik als transportinfrastructuur voor apparaten voor het ongeoorloofd ontvangen van informatie:
1. Signalen van WiFi-apparaten hebben een tamelijk complexe structuur en een breed spectrum, waardoor deze signalen, en nog meer de omringende WiFi-apparaten, niet kunnen worden geïdentificeerd door conventionele radiomonitoringtools.
Zoals de praktijk heeft geleerd, is betrouwbare detectie van een WiFi-signaal door moderne radiobewakingscomplexen in een brede frequentieband alleen mogelijk op basis van het energiecriterium in de aanwezigheid van parallelle analysebanden van enkele tientallen MHz breed met een snelheid van minimaal 400 MHz/ s en alleen in de nabije zone. Signalen van toegangspunten die zich in het verre veld bevinden, liggen onder het ruisniveau van de ontvanger.
Detectie van WiFi-zenders tijdens sequentieel scannen met smalbandontvangers is over het algemeen onmogelijk.
2. Bij vrijwel elke voorziening of in de buurt daarvan zijn particuliere WiFi-netwerken of openbare WiFi-netwerken ingezet. Omringd door dergelijke netwerken is het uiterst moeilijk om legale klanten van het eigen netwerk en aangrenzende netwerken te onderscheiden van klanten die in het geheim informatie kunnen ontvangen, wat het mogelijk maakt om ongeautoriseerde overdracht van informatie tussen legale WiFi-kanalen effectief te maskeren.
De WiFi-zender zendt een zogenaamd “OFDM-signaal” uit. Dit betekent dat het apparaat op een bepaald moment in één signaal uitzendt dat een brede frequentieband beslaat (ongeveer 20 MHz), verschillende informatiedragers - subdragers van informatiekanalen die zo dicht bij elkaar zijn gelegen dat ze bij ontvangst op een gewoon ontvangend apparaat , ziet het signaal eruit als een enkele “koepel”. Het is mogelijk om subdraaggolven in zo'n "koepel" te scheiden en zendapparaten alleen te identificeren met een speciale ontvanger.
3. In grote steden hebben openbare WiFi-netwerken een dekkingsgebied dat voldoende is om de mogelijkheid te garanderen om er verbinding mee te maken en informatie vanaf vrijwel elk punt te verzenden. Dit elimineert de noodzaak om een mobiel informatie-ontvangstpunt in de buurt van de locatie te gebruiken, aangezien informatie door een ongeautoriseerd apparaat via een openbaar toegangspunt en vervolgens via internet naar elke locatie kan worden verzonden.
4. Dankzij de bronnen die WiFi-netwerkkanalen bieden, kunt u geluid, gegevens en video in realtime verzenden. Dit feit opent ruime mogelijkheden voor apparaten voor het onderscheppen van informatie. Nu loopt niet alleen audio-informatie gevaar, maar ook videogegevens van computers of lokale netwerken.
Alle hierboven besproken voordelen van WiFi-technologie vanuit het oogpunt van het beschermen van informatie ter plaatse zijn nadelen. Bovendien worden kleine WiFi-apparaten absoluut legaal geproduceerd en verkocht, waardoor de overdracht van gegevens, spraak- of video-informatie mogelijk is, bijvoorbeeld draadloze WiFi-videocamera's, die gemakkelijk kunnen worden omgebouwd voor gebruik als apparaten voor het in het geheim verkrijgen van informatie.
Rijst. 1. Signaal van WiFi-zender in het nabije veld
Rijst. 2. Draadloze WEBcamera met WiFi-interface
1. Er was een ongeautoriseerde WiFi-videocamera met microfoon in de kamer geïnstalleerd. Om het bereik van de informatieoverdracht te vergroten, is op het dak van de faciliteit een WiFi-toegangspunt geïnstalleerd, dat werkt in repeatermodus (een van de standaardwerkingsmodi van een WiFi-toegangspunt) met een richtantenne. In dit geval kan informatie uit de kamer waarin de standaard WiFi-powercamera van de klant is geïnstalleerd, worden ontvangen op een controlepunt dat zich enkele kilometers van de locatie bevindt, zelfs in een stad.
2. Met behulp van een speciaal programma (virus) kan de smartphone van een van de bedrijfsmedewerkers in een modus worden geschakeld waarin spraakinformatie van de microfoon wordt opgenomen en naar het controlepunt wordt verzonden met behulp van de ingebouwde WiFi-module.
Om de geheimhouding te vergroten, kan het controlepunt ook worden gebruikt in een van de standaardmodi van WiFi-toegangspunten - "overdracht met een verborgen naam". In dit geval zal het toegangspunt onzichtbaar zijn voor netwerkzoekprogramma's voor draadloze netwerken. Opgemerkt moet worden dat clients in deze WiFi-programma's helemaal nooit zichtbaar zijn.
3. En tot slot, laten we eens kijken naar de mogelijkheid dat wanneer het regime in de faciliteit niet toestaat dat opslagmedia buiten de grenzen worden verplaatst, internettoegang afwezig of beperkt is. Hoe kan een aanvaller ongemerkt een voldoende grote hoeveelheid gegevens van zo'n object overbrengen? Antwoord: hij moet absoluut legaal verbinding maken met een naburig WiFi-uitzendnetwerk en informatie verzenden, onopgemerkt blijven tussen een voldoende groot aantal WiFi-clients van aangrenzende netwerken die informatie buiten de faciliteit verzenden.
Conclusies:
WiFi-technologie is zeker handig en universeel voor het organiseren van draadloze toegang tot informatie. Het brengt echter veel ernstige bedreigingen met zich mee voor de informatiebeveiliging van een object. Tegelijkertijd zijn er directe en indirecte bedreigingen voor de informatiebeveiliging. En als u directe bedreigingen kunt wegnemen door te weigeren WiFi-apparaten te gebruiken in de bedrijfsnetwerkinfrastructuur en geen WiFi-netwerken in de faciliteit te gebruiken, dan bestaan er indirecte bedreigingen, ongeacht het gebruik van WiFi-technologie in de faciliteit. Bovendien zijn indirecte bedreigingen gevaarlijker dan directe bedreigingen, omdat ze niet alleen informatie op computernetwerken beïnvloeden, maar ook spraakinformatie in de faciliteit.
Concluderend zou ik willen opmerken dat WiFi-technologie momenteel niet de enige wijdverbreide technologie voor draadloze gegevensoverdracht is die een bedreiging kan vormen voor de informatiebeveiliging van een object.
Bluetooth-apparaten kunnen ook worden gebruikt om ongeautoriseerde draadloze gegevensoverdrachten te organiseren. Vergeleken met WiFi hebben Bluetooth-apparaten aanzienlijk minder mogelijkheden op het gebied van informatieoverdrachtsbereik en kanaalcapaciteit, maar ze hebben één belangrijk voordeel: een laag stroomverbruik, wat uiterst belangrijk is voor een ongeautoriseerde zender.
Een andere technologie die begint te concurreren met WiFi bij het bieden van draadloze breedbandtoegang is WiMAX. Momenteel komen WiMAX-apparaten echter veel minder vaak voor, en het is waarschijnlijker dat hun aanwezigheid een ontmaskerende factor is dan dat ze een ongeautoriseerd informatietransmissiekanaal verbergt.
WiFi is momenteel dus niet alleen de meest gebruikelijke technologie voor draadloze toegang, maar ook de handigste vanuit het oogpunt van ongeoorloofde ontvangst en overdracht van informatie.
Literatuur
- Karolik A., Kaspersky K. Laten we eens kijken wat wardriving is en wat het moet worden gebruikt met //Hacker. - Nr. 059. - nr. 059-0081.
Stuur uw goede werk naar de kennisbank is eenvoudig. Gebruik onderstaand formulier
Studenten, promovendi en jonge wetenschappers die de kennisbasis gebruiken in hun studie en werk zullen je zeer dankbaar zijn.
Geplaatst op http://www.allbest.ru
Ministerie van Onderwijs, Wetenschap en Jeugdbeleid
Regio Voronezj
staatsbegrotingsinstelling voor onderwijs
middelbaar beroepsonderwijs
Regio Voronezj
"Voronezh College voor Bouwtechnologieën"
(GOBU SPO VO "VTST")
Onderhoud van computerapparatuur en computernetwerken
AFSTUDEERPROJECT
Ontwikkeling van technologie voor het beschermen van informatie in draadloze netwerken
Organisatieadviseur
economisch deel van S.N. Mukhina
Standaardbesturing _ L.I. Kort
Hoofd N.A. Merkulova
Ontwikkeld door _M.A. Soechanov
Voronezj 2014
annotatie
Invoering
1.3 Technologieën voor het beschermen van informatie in draadloze netwerken
2.1 Het WPA-programma instellen
2.2 Verkeersencryptie
4. Gezondheid en veiligheid op het werk
4.1 Elektrische veiligheid bij het bedienen van technische apparatuur
4.2 Eisen aan gebouwen
4.3 Maatregelen voor brandbestrijdingsmiddelen
Conclusie
Lijst van afkortingen
Sollicitatie
annotatie
Dit afstudeerproject omvatte de ontwikkeling van ivoor draadloze netwerken, die kan worden gebruikt om de bescherming van de computer van de gebruiker, bedrijfsnetwerken en kleine kantoren te vergroten.
In de loop van het diplomaproject werd een analyse van ivoor draadloze netwerken uitgevoerd en werd een analyse uitgevoerd van softwareproducten die het mogelijk maakten de bescherming van draadloze netwerken tegen bedreigingen te verbeteren.
Als resultaat van het project hebben we ervaring opgedaan met het configureren van softwareproducten die het mogelijk maken een draadloos netwerk maximaal te beschermen tegen veel voorkomende bedreigingen.
Het diplomaproject bestaat uit vier secties, bevat vierentwintig figuren, één tabel.
beschermingsinformatienetwerk
Invoering
Draadloze netwerken worden al in bijna alle activiteitengebieden gebruikt. Het wijdverbreide gebruik van draadloze netwerken is te danken aan het feit dat ze niet alleen op personal computers kunnen worden gebruikt, maar ook op telefoons, tablets en laptops vanwege hun gemak en relatief lage kosten. Draadloze netwerken moeten voldoen aan een aantal eisen op het gebied van kwaliteit, snelheid, bereik en veiligheid, waarbij veiligheid vaak de belangrijkste factor is.
De relevantie van het waarborgen van de veiligheid van een draadloos netwerk is te danken aan het feit dat, terwijl in bekabelde netwerken een aanvaller eerst fysieke toegang moet krijgen tot het kabelsysteem of de eindapparaten, in draadloze netwerken een conventionele ontvanger die binnen het bereik van het netwerk is geïnstalleerd, voldoende is om toegang krijgen.
Ondanks de verschillen in de communicatie-implementatie is de benadering van de beveiliging van draadloze netwerken en hun bedrade tegenhangers identiek. Maar bij het implementeren van informatiebeveiligingsmethoden in draadloze netwerken wordt meer aandacht besteed aan de vereisten voor het waarborgen van de vertrouwelijkheid en integriteit van verzonden gegevens, en voor het verifiëren van de authenticiteit van draadloze clients en toegangspunten.
Het doel van het onderzoek is de manier waarop informatie in draadloze netwerken kan worden beschermd.
Het onderwerp van het onderzoek is de technologie van informatiebeveiliging van draadloze netwerken
Het doel van het diplomaproject is het verbeteren van de kwaliteit van informatiebeveiliging in draadloze netwerken
Om dit doel te bereiken zijn de volgende taken opgelost:
de soorten bedreigingen en hun negatieve impact op het functioneren van draadloze netwerken zijn onderzocht;
analyseerde softwareproducten die draadloze netwerkinformatie beschermen;
er is technologie ontwikkeld voor het beschermen van draadloze netwerkinformatie;
De praktische focus van het ontwikkelde afstudeerproject is dat als gevolg van de toepassing van dit afstudeerproject de bescherming van draadloze netwerkinformatie tegen ongeautoriseerde verbindingen, een stabiele internetverbindingssnelheid en controle over ongeautoriseerd verkeersverbruik worden bereikt.
1. Bedreigingsanalyse en draadloze netwerkbeveiliging
Het principe van draadloze gegevensoverdracht omvat de mogelijkheid van ongeautoriseerde verbindingen met toegangspunten. Bij het ontwikkelen van een bedrijfsnetwerk moeten beheerders allereerst niet alleen zorgen voor hoogwaardige communicatiedekking van het kantoorgebied, maar ook voor beveiligingsmaatregelen zorgen, omdat u vanaf een auto die op straat geparkeerd staat verbinding kunt maken met het netwerk.
Een even gevaarlijke bedreiging voor draadloze netwerken is de mogelijkheid van diefstal van apparatuur: router, antenne, adapter. Als het beveiligingsbeleid voor draadloze netwerken is gebaseerd op MAC-adressen, kan een door een aanvaller gestolen netwerkkaart of router de toegang tot het draadloze netwerk openen.
1.1 Belangrijkste bedreigingen van draadloze netwerken
Draadloze technologieën, die werken zonder de fysieke en logische beperkingen van hun bedrade tegenhangers, stellen de netwerkinfrastructuur en gebruikers bloot aan aanzienlijke bedreigingen. De meest voorkomende bedreigingen zijn de volgende:
Onbekenden. 'Vreemdelingen' zijn apparaten die ongeautoriseerde toegang bieden tot een draadloos netwerk, waarbij ze vaak de beschermingsmechanismen omzeilen die zijn gedefinieerd in het beveiligingsbeleid van bedrijven. Meestal zijn dit niet-geautoriseerde toegangspunten. Statistieken tonen aan dat de dreiging van buitenaf verantwoordelijk is voor de meerderheid van de hacks van draadloze netwerken. De rol van een vreemde kan een thuisrouter zijn met Wi-Fi-ondersteuning, een Soft AP-softwaretoegangspunt, een laptop met bekabelde en draadloze interfaces tegelijkertijd ingeschakeld, een scanner, een projector, enz.
Onvaste communicatie - draadloze apparaten kunnen tijdens bedrijf netwerkverbindingspunten wijzigen. Er kunnen bijvoorbeeld “willekeurige associaties” optreden wanneer een laptop met Windows XP (die alle draadloze netwerken behoorlijk vertrouwt) of eenvoudigweg een onjuist geconfigureerde draadloze client de gebruiker automatisch associeert en verbindt met het dichtstbijzijnde draadloze netwerk. Met dit mechanisme kunnen aanvallers een nietsvermoedende gebruiker ‘inschakelen’ voor daaropvolgende kwetsbaarheidsscans.
MITM-aanval (Engelse Man in the middle, “man in the middle”) is een term die wordt gebruikt in de cryptografie en verwijst naar een situatie waarin een cryptanalyticus (aanvaller) in staat is om naar believen de berichten te lezen en te wijzigen die tussen correspondenten worden uitgewisseld, en geen van de de laatste kan zijn aanwezigheid in het kanaal niet raden. Een MITM-aanval is een methode om een communicatiekanaal te compromitteren waarbij een aanvaller, nadat hij verbinding heeft gemaakt met een kanaal tussen tegenpartijen, zich actief bemoeit met het transmissieprotocol door informatie te verwijderen, te vervormen of valse informatie op te leggen. Een man-in-the-middle-aanval begint meestal met het afluisteren van een communicatiekanaal en eindigt met een poging van een cryptanalist om een onderschept bericht te vervangen, er nuttige informatie uit te halen en het door te sturen naar een externe bron.
Voorbeeld: Object A stuurt bepaalde informatie naar object B. Object C heeft kennis over de structuur en eigenschappen van de gebruikte datatransmissiemethode en is van plan deze informatie te onderscheppen. Om een aanval uit te voeren ‘lijkt’ C object A te objecteren als object B en B object A als object A. Object A stuurt dus informatie naar object B en stuurt deze onbewust naar object C. Op zijn beurt stuurt object C, heeft de informatie ontvangen en er enkele acties mee uitgevoerd. De actie stuurt de gegevens door naar het echte object B. Object B gelooft dat de informatie rechtstreeks van A is ontvangen.
Denial of Service - Een Denial of Service-aanval kan op verschillende manieren worden bereikt. Als een hacker erin slaagt een verbinding met een draadloos netwerk tot stand te brengen, kunnen zijn kwaadaardige acties een aantal ernstige gevolgen hebben, zoals het verzenden van reacties op Address Resolution Protocol (ARP)-verzoeken om de ARP-tabellen van netwerkapparaten te wijzigen om de netwerkroutering te verstoren. of het injecteren van een ongeautoriseerde Dynamic Host Configuration Protocol (DHCP)-server om ongeldige adressen en netwerkmaskers uit te geven. Als een hacker de details van de draadloze netwerkinstellingen te weten komt, kan hij gebruikers opnieuw verbinden met zijn toegangspunt, en deze laatste zal worden afgesloten van netwerkbronnen die toegankelijk waren via het ‘legitieme’ toegangspunt.
Afluisteren
Anonieme plagen kunnen radiosignalen onderscheppen en verzonden gegevens decoderen. De apparatuur die wordt gebruikt om een netwerk af te luisteren, mag niet geavanceerder zijn dan de apparatuur die wordt gebruikt voor routinematige toegang tot dat netwerk. Om een transmissie te kunnen onderscheppen, moet een aanvaller dicht bij de zender zijn. Dit soort onderscheppingen zijn vrijwel onmogelijk te registreren en nog moeilijker te voorkomen. Het gebruik van antennes en versterkers geeft de aanvaller de mogelijkheid om zich tijdens het onderscheppingsproces op aanzienlijke afstand van het doelwit te bevinden. Door te afluisteren kan men informatie verzamelen over een netwerk dat later moet worden aangevallen. Het primaire doel van de aanvaller is om te begrijpen wie het netwerk gebruikt, welke gegevens erop beschikbaar zijn, wat de mogelijkheden van de netwerkapparatuur zijn, op welke momenten deze het meest en minst intensief wordt geëxploiteerd en wat het territorium van de netwerkimplementatie is. .
1.2 Hulpmiddelen voor draadloze netwerkbeveiliging
De volgende software kan worden gebruikt ter bescherming tegen de meest voorkomende draadloze bedreigingen:
WPA (Wi-Fi Protected Access) is een bijgewerkt certificeringsprogramma voor draadloze apparaten. WPA-technologie bestaat uit verschillende componenten:
802.1x-protocol - Universal Authentication, Authorization, and Accounting (AAA)-protocol
EAP-protocol - Uitbreidbaar authenticatieprotocol
TKIP-protocol - Temporal Key Integrity Protocol, een andere vertaaloptie - Temporal Key Integrity Protocol
MIC - controle van cryptografische pakketintegriteit (Message Integrity Code)
RADIUS-protocol
Het TKIP-protocol is verantwoordelijk voor de gegevensversleuteling in WPA, dat weliswaar hetzelfde versleutelingsalgoritme gebruikt - RC4 - als in WEP, maar in tegenstelling tot laatstgenoemde dynamische sleutels gebruikt (dat wil zeggen dat de sleutels regelmatig veranderen). Het gebruikt een langere initialisatievector en gebruikt een cryptografische controlesom (MIC) om de integriteit van pakketten te verifiëren (de laatste is een functie van de bron- en bestemmingsadressen en het gegevensveld).
Het RADIUS-protocol is ontworpen om te werken in combinatie met een authenticatieserver, meestal een RADIUS-server. In dit geval werken draadloze toegangspunten in de bedrijfsmodus.
Als er geen RADIUS-server op het netwerk aanwezig is, wordt de rol van de authenticatieserver uitgevoerd door het toegangspunt zelf - de zogenaamde modus
WPA-PSK (vooraf gedeelde sleutel, gedeelde sleutel). In deze modus wordt een gemeenschappelijke sleutel vooraf geregistreerd in de instellingen van alle toegangspunten. Het wordt ook geregistreerd op draadloze clientapparaten. Deze beschermingsmethode is ook behoorlijk veilig (ten opzichte van WEP), maar is vanuit beheeroogpunt erg lastig. De PSK-sleutel moet op alle draadloze apparaten worden geregistreerd; gebruikers van draadloze apparaten kunnen deze zien. Als u de toegang tot een netwerk voor een client moet blokkeren, moet u een nieuwe PSK opnieuw registreren op alle netwerkapparaten, enzovoort. Met andere woorden: de WPA-PSK-modus is geschikt voor een thuisnetwerk en misschien een klein kantoor, maar meer ook niet.
In deze serie artikelen wordt bekeken hoe WPA werkt in combinatie met een externe RADIUS-server. Maar laten we, voordat we erop ingaan, eens wat nader kijken naar de mechanismen van WPA. WPA-technologie was een tijdelijke maatregel totdat de 802.11i-standaard in gebruik werd genomen. Sommige fabrikanten introduceerden vóór de officiële goedkeuring van deze standaard WPA2-technologie, die in verschillende mate technologieën van 802.11i gebruikt. Zoals het gebruik van het CCMP-protocol (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), in plaats van TKIP, wordt de geavanceerde encryptiestandaard AES (Advanced Encryption Standard) gebruikt als encryptie-algoritme. En het 802.1x-protocol wordt nog steeds gebruikt voor sleutelbeheer en -distributie.
Zoals hierboven vermeld, kan het 802.1x-protocol verschillende functies uitvoeren. In dit geval zijn we geïnteresseerd in gebruikersauthenticatiefuncties en de distributie van encryptiesleutels. Opgemerkt moet worden dat authenticatie plaatsvindt "op poortniveau" - dat wil zeggen, totdat de gebruiker is geauthenticeerd, mag hij alleen pakketten verzenden/ontvangen die verband houden met zijn authenticatieproces (referenties) en niets meer. En pas na succesvolle authenticatie wordt de apparaatpoort (of het nu een toegangspunt of een slimme switch is) geopend en heeft de gebruiker toegang tot netwerkbronnen.
Authenticatiefuncties worden toegewezen aan het EAP-protocol, dat zelf slechts een raamwerk is voor authenticatiemethoden. Het mooie van het protocol is dat het heel eenvoudig te implementeren is op de authenticator (toegangspunt), omdat het geen specifieke kenmerken van de verschillende authenticatiemethoden hoeft te kennen. De authenticator dient uitsluitend als transmissieverbinding tussen de cliënt en de authenticatieserver. Er zijn nogal wat authenticatiemethoden:
EAP-SIM, EAP-AKA - gebruikt in mobiele GSM-netwerken
LEAP - eigen methode van Cisco-systemen
EAP-MD5 is de eenvoudigste methode, vergelijkbaar met CHAP (niet robuust)
EAP-MSCHAP V2 - authenticatiemethode gebaseerd op gebruikersaanmelding/wachtwoord in MS-netwerken
EAP-TLS - authenticatie op basis van digitale certificaten
EAP-SecureID - methode gebaseerd op eenmalige wachtwoorden
Naast het bovenstaande moeten de volgende twee methoden worden opgemerkt: EAP-TTLS en EAP-PEAP. In tegenstelling tot de vorige creëren deze twee methoden eerst een TLS-tunnel tussen de client en de authenticatieserver voordat de gebruiker rechtstreeks wordt geverifieerd. En al binnen deze tunnel wordt de authenticatie zelf uitgevoerd, met behulp van standaard EAP (MD5, TLS) of oude niet-EAP-methoden (PAP, CHAP, MS-CHAP, MS-CHAP v2), deze laatste werken alleen met EAP- TTLS (PEAP wordt alleen gebruikt in combinatie met EAP-methoden). Pre-tunneling verbetert de authenticatiebeveiliging door bescherming te bieden tegen man-in-middle-aanvallen, sessiehihacking of woordenboekaanvallen.
Het PPP-protocol verscheen daar omdat EAP oorspronkelijk bedoeld was om via PPP-tunnels te worden gebruikt. Maar aangezien het gebruik van dit protocol alleen voor authenticatie via een lokaal netwerk onnodige redundantie is, worden EAP-berichten verpakt in “EAP over LAN” (EAPOL)-pakketten, die worden gebruikt om informatie uit te wisselen tussen de client en de authenticator (toegangspunt).
Het authenticatieschema bestaat uit drie componenten:
Supplicant - software die op een clientcomputer draait en probeert verbinding te maken met het netwerk
Authenticator - toegangsknooppunt, authenticator (draadloos toegangspunt of bekabelde switch die het 802.1x-protocol ondersteunt)
Authenticatieserver - authenticatieserver (meestal een RADIUS-server).
Het authenticatieproces bestaat uit de volgende fasen:
De client kan een authenticatieverzoek (EAP-startbericht) naar het access point sturen
Het toegangspunt (Authenticator) reageert door de cliënt een cliëntidentificatieverzoek (EAP-verzoek/identiteitsbericht) te sturen. De authenticator kan zelf een EAP-verzoek verzenden als hij ziet dat een van zijn poorten actief is geworden.
De client reageert door een EAP-responspakket met de benodigde gegevens te verzenden, dat het toegangspunt (authenticator) doorstuurt naar de Radius-server (authenticatieserver).
De authenticatieserver stuurt een challenge-pakket (een verzoek om informatie over de authenticiteit van de cliënt) naar de authenticator (toegangspunt). De authenticator stuurt het door naar de client.
Vervolgens vindt het proces van wederzijdse identificatie van de server en client plaats. Het aantal stadia van het heen en weer doorsturen van pakketten varieert afhankelijk van de EAP-methode, maar voor draadloze netwerken is alleen “sterke” authenticatie met wederzijdse authenticatie van de client en server (EAP-TLS, EAP-TTLS, EAP-PEAP) en pre- encryptie van het communicatiekanaal is acceptabel.
In de volgende fase staat de authenticatieserver, nadat hij de benodigde informatie van de cliënt heeft ontvangen, de toegang toe (accepteert) of weigert (weigert), en stuurt dit bericht door naar de authenticator. De authenticator (toegangspunt) opent de poort voor de aanvrager als er een positief antwoord (accepteren) wordt ontvangen van de RADIUS-server.
De poort gaat open, de authenticator stuurt een succesbericht naar de client en de client krijgt toegang tot het netwerk.
Nadat de verbinding met de client is verbroken, gaat de poort op het toegangspunt terug naar de “gesloten” status.
EAPOL-pakketten worden gebruikt voor de communicatie tussen de client (aanvrager) en het toegangspunt (authenticator). Het RADIUS-protocol wordt gebruikt om informatie uit te wisselen tussen de authenticator (toegangspunt) en de RADIUS-server (authenticatieserver). Bij het doorgeven van informatie tussen de client en de authenticatieserver worden EAP-pakketten bij de authenticator opnieuw verpakt van het ene formaat naar het andere.
De initiële authenticatie wordt uitgevoerd op basis van gemeenschappelijke gegevens die zowel de client als de authenticatieserver kennen (zoals login/wachtwoord, certificaat, enz.) - in dit stadium wordt de hoofdsleutel gegenereerd. Met behulp van de Master Key genereren de authenticatieserver en -client een Pairwise Master Key, die door de authenticatieserver wordt doorgegeven aan de authenticator. En op basis van de Pairwise Master Key worden alle andere dynamische sleutels gegenereerd, die het verzonden verkeer afsluiten. Opgemerkt moet worden dat de Pairwise Master Key zelf ook onderhevig is aan dynamische veranderingen.
WEP (Wired Equivalent Privacy) is een oude methode voor netwerkbeveiliging. Het is nog steeds beschikbaar om oudere apparaten te ondersteunen, maar het gebruik ervan wordt niet aanbevolen. Als u WEP inschakelt, wordt de netwerkbeveiligingssleutel geconfigureerd. Deze sleutel codeert informatie die een computer via een netwerk naar andere computers verzendt. WEP-beveiliging is echter relatief eenvoudig te doorbreken.
Er zijn twee soorten WEP-beveiligingsmethoden: open systeemverificatie en gedeelde sleutelverificatie. Geen van beide biedt een hoog beveiligingsniveau, maar de authenticatiemethode met gedeelde sleutel is minder veilig. Voor de meeste computers en draadloze toegangspunten is de authenticatiesleutel met gedeelde sleutel dezelfde als de statische WEP-coderingssleutel die wordt gebruikt om het netwerk te beveiligen. Een aanvaller die succesvolle authenticatieberichten met een gedeelde sleutel onderschept, kan analysehulpmiddelen gebruiken om de authenticatiesleutel met de gedeelde sleutel en vervolgens de statische WEP-coderingssleutel te bepalen. Zodra een statische WEP-coderingssleutel is bepaald, kan een aanvaller volledige toegang tot het netwerk krijgen. Om deze reden ondersteunt deze versie van Windows niet automatisch netwerkconfiguratie via gedeelde WEP-sleutelverificatie.
Gebruikt een pseudo-willekeurige nummergenerator (RC4-algoritme) om de sleutel te verkrijgen, evenals initialisatievectoren. Omdat dit laatste onderdeel niet gecodeerd is, is het mogelijk dat derden ingrijpen en de WEP-sleutel opnieuw aanmaken.
Uit de analyse van bedreigingen voor draadloze netwerken is gebleken dat de meest verontrustende bedreigingen vreemden, niet-vaste communicatie, toegangsweigering en afluisteren zijn.
Uit een overzicht van softwaretools die worden gebruikt om informatie op draadloze netwerken te beschermen, is gebleken dat het het meest raadzaam is om het WPA-programma te gebruiken. Het WPA-programma is een bijgewerkt certificeringsprogramma voor draadloze apparaten. Het WPA-programma verbetert de gegevensbeveiliging en toegangscontrole tot draadloze netwerken en ondersteunt encryptie in overeenstemming met de AES-standaard (Advanced Encryption Standard), die een robuuster cryptografisch algoritme heeft.
2. Technologieën voor het beschermen van informatie in draadloze netwerken
2.1 Het WPA-programma instellen
De mogelijkheid om WPA in Windows XP te configureren verschijnt met de installatie van Service Pack versie 2 (of de overeenkomstige updates op de Microsoft-website).
Afbeelding 1 – Venster met eigenschappen voor draadloze adapters
Service Pack 2 breidt de functionaliteit en het gemak van draadloze netwerkinstellingen aanzienlijk uit. Hoewel de hoofdmenu-items niet zijn gewijzigd, zijn er nieuwe toegevoegd.
De codering wordt op de standaardmanier geconfigureerd: selecteer eerst het pictogram van de draadloze adapter en klik vervolgens op de knop Eigenschappen.
Figuur 2 – Tabblad Draadloze netwerken
Ga naar het tabblad Draadloze netwerken en selecteer welk netwerk we zullen configureren (meestal is er maar één). Klik op Eigenschappen.
Figuur 3 - Venster Eigenschappen
In het venster dat verschijnt, selecteert u WPA-Geen, d.w.z. WPA met vooraf gedefinieerde sleutels (als u Compatibel selecteert, schakelen we de instelmodus voor WEP-codering in, die hierboven al is beschreven).
Figuur 4-Eigenschappenvenster
Selecteer AES of TKIP (als alle apparaten op het netwerk AES ondersteunen, is het beter om dit te selecteren) en voer de WPA-sleutel twee keer in (de tweede in het bevestigingsveld). Bij voorkeur iets lang en moeilijk op te pakken.
Nadat u op OK hebt geklikt, kan de WPA-coderingsinstallatie ook als voltooid worden beschouwd.
Tot slot nog een paar woorden over de wizard die bij Service Pack 2 verscheen
Figuur 5 - Draadloze netwerkinstellingen.
Selecteer in de eigenschappen van de netwerkadapter de knop Draadloze netwerken.
Afbeelding 6-Adaptereigenschappen
In het venster dat verschijnt, klikt u op Een draadloos netwerk installeren.
Afbeelding 7 – Wizard Draadloos netwerk
Hier vertellen ze ons waar we terecht zijn gekomen. Klik volgende.
Afbeelding 8 – Wizard Draadloos netwerk
Selecteer Een draadloos netwerk installeren. (Als u Toevoegen selecteert, kunt u profielen maken voor andere computers op hetzelfde draadloze netwerk.)
Afbeelding 10 – Wizard Draadloos netwerk
Stel in het venster dat verschijnt de netwerk-SSID in, activeer indien mogelijk WPA-codering en selecteer de methode voor het invoeren van de sleutel. U kunt het genereren aan het besturingssysteem overlaten of de sleutels handmatig invoeren. Als de eerste is geselecteerd, verschijnt er een venster waarin u wordt gevraagd de vereiste sleutel (of sleutels) in te voeren.
Figuur 11 – Venster voor het selecteren van een netwerkinstallatiemethode
In een tekstbestand, voor latere handmatige invoer op andere machines.
Het profiel opslaan op een USB-stick voor automatische invoer op andere machines met Windows XP met geïntegreerd Service Pack versie 2.
Afbeelding 12 - Parameters opslaan in flashgeheugen
Als de Flash-opslagmodus is geselecteerd, wordt u in het volgende venster gevraagd Flash-media in te voegen en deze in het menu te selecteren.
Afbeelding 13 – Installatie voltooid
Als handmatig opslaan van parameters is geselecteerd, wordt na het indrukken van de knop Afdrukken...
Afbeelding 14 – Geconfigureerde netwerkparameters
... er wordt een tekstbestand met de parameters van het geconfigureerde netwerk weergegeven. Houd er rekening mee dat willekeurige en lange (d.w.z. goede) sleutels worden gegenereerd, maar TKIP wordt gebruikt als versleutelingsalgoritme. Het AES-algoritme kan later handmatig worden ingeschakeld in de instellingen, zoals hierboven beschreven.
2.3 Verkeersencryptie
Met elk toegangspunt kunt u de coderingsmodus inschakelen voor verkeer dat via een draadloos netwerk wordt verzonden. Het coderen van verkeer verbergt de gegevens van netwerkgebruikers en maakt het voor aanvallers erg moeilijk om gegevens te decoderen die via een gecodeerd netwerk worden verzonden. Er zijn verschillende versleutelingsmethoden, waarvan de meest voorkomende WEP zijn en, veiliger, WPA en WPA-2. De WEP-versleutelingsmethode is volgens moderne normen niet sterk genoeg, dus moderne 802.11g-toegangspunten gebruiken al de verbeterde WPA-versleutelingsmethode. Laten we overwegen om WPA-codering in te stellen. Schakel in het configuratiescherm van het toegangspunt de modus "WPA-PSK" in (bij voorkeur "WPA2-PSK"), soms zijn er submodi waarvan u persoonlijk of vereenvoudigd moet kiezen, omdat andere werkt mogelijk niet op uw netwerk zonder een speciale server. In de WPA-modus moet u het coderingsalgoritme “AES” of “TCIP” selecteren en de coderingssleutel invoeren. Dit kunnen willekeurige symbolen zijn (het is raadzaam om een sleutel van de maximale lengte te gebruiken, symbolen gemengd met cijfers).
Afbeelding 15: WPA-PSK-modus configureren op het toegangspunt
Alle Wi-Fi-adapters zijn op dezelfde manier geconfigureerd. Op elke computer/laptop selecteert u namelijk in de eigenschappen "Draadloze netwerkverbinding" "WPA-PSK" voor authenticatie en "AES" of "TKIP" gegevenscodering, afhankelijk van de codering die op het toegangspunt is geselecteerd.
Figuur 16: De netwerkadapter configureren in WPA-PSK-modus
Stap 1 Open uw webbrowser, typ het IP-adres van de router (standaard 192.168.1.1) in de adresbalk en druk op Enter.
Figuur 17 – Browservenster
Stap 2 Voer de gebruikersnaam en het wachtwoord in op de inlogpagina. De standaard gebruikersnaam en het wachtwoord zijn admin.
Stap 3 Selecteer Draadloos -> Draadloze instellingen in het linkermenu. Het venster met draadloze instellingen wordt geopend.
Afbeelding 19 – Venster met draadloze netwerkinstellingen
SSID (Wireless Network Name): Stel een nieuwe naam in voor uw draadloze netwerk
Kanaal: 1, 6 of 11 zijn beter dan Auto.
Vink de vakjes "Enable Wireless Router Radio" en "Enable SSID Broadcast" aan.
Opmerking: nadat u op de knop Opslaan hebt geklikt, wordt het bericht 'Wijzigingen in de draadloze netwerkinstellingen worden pas van kracht nadat u uw computer opnieuw hebt opgestart. Klik hier om uw computer nu opnieuw op te starten.' U hoeft uw router pas opnieuw op te starten nadat u alle draadloze netwerkinstellingen hebt voltooid.
Stap 5 Selecteer in het menu aan de linkerkant Draadloos -> Draadloze beveiliging en schakel aan de rechterkant de optie WPA - PSK / WPA 2-PSK in.
Afbeelding 20 – WPA-PSK-installatie
Versie: WPA - PSK of WPA 2-PSK
Encryptie: TKIP of AES
PSK-wachtwoord: Voer het wachtwoord in (de vooraf gedeelde sleutellengte is van 8 tot 63 tekens.)
Stap 7 Selecteer in het menu aan de linkerkant Systeemwerkset -> Opnieuw opstarten. Start de router opnieuw op om de instellingen van kracht te laten worden.
Figuur 21 - Hulpprogramma's
3. Organisatorisch en economisch gedeelte
De kosten van de adapter zijn gekozen door drie prijslijsten van bedrijven als SaNi, Ret en DNS-SHOP te vergelijken; de prijzen staan vermeld in Tabel 1
|
Naam van het product |
|||
|
Powerline netwerkadapter TP-Link TL-WPA2220KIT |
|||
|
Powerline netwerkadapter TP-Link TL-WPA2220KIT |
Tabel 1-Vergelijking van drie prijslijsten
Door de prijzen te analyseren en te vergelijken, kwam ik tot de conclusie dat het het meest winstgevend is om deze adapter met WPA-ondersteuning in de PET-winkel aan te schaffen, aangezien de prijs 1841 roebel was.
4. Gezondheid en veiligheid op het werk
Algemene situatie.
1. De arbeidsveiligheidsinstructie is het belangrijkste document waarin voor werknemers de gedragsregels op het werk en de vereisten voor een veilige uitvoering van het werk worden vastgelegd.
2. Kennis van de arbeidsveiligheidsinstructies is verplicht voor werknemers van alle categorieën en vaardigheidsgroepen, evenals voor hun directe leidinggevenden.
Op elke locatie moeten veilige routes door de locatie naar de werkplek en evacuatieplannen in geval van brand en noodsituaties worden ontwikkeld en aan al het personeel worden gecommuniceerd.
4. Elke werknemer is verplicht:
voldoen aan de vereisten van deze instructies;
informeer onmiddellijk uw directe leidinggevende, en bij diens afwezigheid, uw leidinggevende, over het ongeval dat heeft plaatsgevonden en over alle overtredingen van de vereisten van de instructies die door hem zijn opgemerkt, evenals over storingen aan constructies, uitrusting en beschermingsmiddelen;
denk aan de persoonlijke verantwoordelijkheid voor het niet naleven van de veiligheidseisen;
zorgen voor de veiligheid van beschermende uitrusting, gereedschappen, apparaten, brandblusapparatuur en arbeidsveiligheidsdocumentatie op uw werkplek.
HET IS VERBODEN opdrachten uit te voeren die in strijd zijn met de eisen van deze Instructie en de “Inter-industriele regels voor arbeidsbescherming (veiligheidsregels) tijdens de bediening van elektrische installaties” POT R M-016-2001 (RD 153-34.0-03.150- 00).
Elke computer is een elektrisch apparaat en vormt een potentiële bedreiging. Daarom is het bij het werken met een computer noodzakelijk om aan de veiligheidseisen te voldoen.
Voordat u met de werkzaamheden begint, moet u ervoor zorgen dat de elektrische bedrading, schakelaars en stopcontacten waarmee de apparatuur op het netwerk is aangesloten in goede staat zijn, dat de computer geaard is en dat deze goed werkt. Het is onaanvaardbaar om in het voedingssysteem hoogwaardige en versleten componenten te gebruiken, evenals hun surrogaatvervangers: stopcontacten, verlengsnoeren, adapters, T-stukken. Het is onaanvaardbaar om stopcontacten onafhankelijk aan te passen om stekkers te accepteren die aan andere normen voldoen. Elektrische contacten van stopcontacten mogen geen mechanische spanning ondervinden die gepaard gaat met het verbinden van massieve componenten (adapters, T-stukken, enz.). Alle stroomkabels en draden moeten zich aan de achterkant van de computer en randapparatuur bevinden. Hun plaatsing in het werkgebied van de gebruiker is onaanvaardbaar.
Het is verboden handelingen uit te voeren die verband houden met het aansluiten, loskoppelen of verplaatsen van componenten van een computersysteem zonder eerst de stroom uit te schakelen. De computer mag niet in de buurt van elektrische verwarmingen of verwarmingssystemen worden geïnstalleerd. Het is onaanvaardbaar om vreemde voorwerpen op de systeemeenheid, monitor en randapparatuur te plaatsen: boeken, vellen papier, servetten, stofhoezen. Dit resulteert in een permanente of tijdelijke verstopping van de ventilatieopeningen. Steek geen vreemde voorwerpen in de service- of ventilatieopeningen van computersysteemcomponenten.
Sommige computeronderdelen kunnen nog lange tijd een hoge spanning behouden
Kenmerken van de voeding van de systeemeenheid. Alle componenten van de systeemeenheid krijgen elektriciteit van de voeding. De pc-voeding is een zelfstandige eenheid die zich bovenaan de systeemeenheid bevindt. Veiligheidsvoorschriften verbieden het openen van de systeemeenheid niet, bijvoorbeeld bij het installeren van extra interne apparaten of het upgraden ervan, maar dit geldt niet voor de voeding. De computervoeding is een bron van verhoogd brandgevaar en mag daarom alleen in gespecialiseerde werkplaatsen worden geopend en gerepareerd. De voeding heeft een ingebouwde ventilator en ventilatiegaten. Hierdoor zal er zich onvermijdelijk stof in ophopen, wat kortsluiting kan veroorzaken. Het wordt aanbevolen om periodiek (een of twee keer per jaar) een stofzuiger te gebruiken om stof uit de voeding te verwijderen via de ventilatiegaten zonder de systeemeenheid te openen. Het is vooral belangrijk om deze handeling uit te voeren vóór elk transport of elke kanteling van de systeemeenheid.
Systeem van hygiënische eisen. Langdurig werken met een computer kan tot gezondheidsproblemen leiden. Kortstondig werken met een geïnstalleerde computer leidt bij grove schendingen van de hygiënenormen en -regels tot verhoogde vermoeidheid. De schadelijke effecten van een computersysteem op het menselijk lichaam zijn complex. Monitorparameters beïnvloeden de gezichtsorganen. De uitrusting van de werkplek beïnvloedt de organen van het bewegingsapparaat. De aard van de opstelling van de apparatuur in een computerklas en de wijze van gebruik ervan beïnvloeden zowel de algemene psychofysiologische toestand van het lichaam als de visuele organen.
Videosysteemvereisten. In het verleden werden monitoren vooral gezien als een bron van schadelijke straling, die vooral de ogen aantastte. Tegenwoordig wordt deze aanpak als onvoldoende beschouwd. Naast schadelijke elektromagnetische straling (die op moderne monitoren is teruggebracht tot een relatief veilig niveau), moet er rekening worden gehouden met parameters voor de beeldkwaliteit, en deze worden niet alleen bepaald door de monitor, maar ook door de videoadapter, dat wil zeggen: het gehele videosysteem als geheel.
Op de werkplek moet de monitor zo worden geïnstalleerd dat de mogelijkheid van reflectie van het scherm naar de gebruiker door bronnen van algemene verlichting in de kamer wordt uitgesloten.
De afstand van het monitorscherm tot de ogen van de gebruiker moet 50 tot 70 cm zijn. Het is niet nodig om de monitor zo ver mogelijk van de ogen te plaatsen uit angst voor schadelijke straling (gebaseerd op de dagelijkse ervaring met tv), omdat Ook voor het oog is de kijkhoek van de meest karakteristieke objecten belangrijk. Optimaal is het plaatsen van de monitor op een afstand van 1,5 D van de ogen van de gebruiker, waarbij D de grootte van het monitorscherm is, diagonaal gemeten. Vergelijk deze aanbeveling met de aanbevolen waarde van 3...5 D voor huishoudelijke televisies, en vergelijk de grootte van de karakters op het beeldscherm (het meest typische object dat concentratie vereist) met de grootte van objecten die typisch zijn voor televisie (afbeeldingen van mensen, gebouwen, natuurlijke objecten). Een te grote afstand van de ogen tot de monitor leidt tot extra belasting van de visuele organen, beïnvloedt de moeilijkheid bij de overgang van het werken met een monitor naar het werken met een boek en manifesteert zich in de voortijdige ontwikkeling van verziendheid.
Een belangrijke parameter is de framesnelheid, die afhankelijk is van de eigenschappen van de monitor, videoadapter en software-instellingen van het videosysteem. Om met teksten te werken, is de minimaal toegestane framesnelheid 72 Hz. Voor grafisch werk wordt een framesnelheid van 85 Hz of hoger aanbevolen.
Vereisten voor de werkplek. De eisen voor de werkplek omvatten eisen aan een bureaublad, een stoel (stoel, fauteuil), leuningen voor armen en benen. Ondanks de schijnbare eenvoud is het uiterst moeilijk om de juiste plaatsing van computersysteemelementen en de juiste zitplaats van de gebruiker te garanderen. Een volledige oplossing voor het probleem vereist extra kosten die qua omvang vergelijkbaar zijn met de kosten van individuele componenten van een computersysteem. Daarom worden deze vereisten in het dagelijks leven en in de productie vaak verwaarloosd.
De monitor moet direct voor de gebruiker worden geïnstalleerd en er mag geen rotatie van het hoofd of lichaam nodig zijn.
Het bureaublad en de stoel moeten zo hoog zijn dat de ooghoogte van de gebruiker zich iets boven het midden van de monitor bevindt. U moet van boven naar beneden naar het beeldscherm kijken, en niet andersom. Zelfs kortdurend werk met een te hoog geïnstalleerde monitor leidt tot vermoeidheid van de cervicale wervelkolom.
Indien bij het correct installeren van de monitor ten opzichte van ooghoogte blijkt dat de voeten van de gebruiker niet vrij op de vloer kunnen rusten, dient een voetsteun te worden geïnstalleerd, bij voorkeur schuin. Als de benen geen betrouwbare ondersteuning hebben, zal dit zeker leiden tot een slechte houding en vermoeidheid van de wervelkolom. Het is handig als computermeubilair (bureau en werkstoel) middelen hebben voor hoogteverstelling. In dit geval is het gemakkelijker om de optimale positie te bereiken.
Het toetsenbord moet op een zodanige hoogte worden geplaatst dat de vingers er vrij en zonder spanning op kunnen rusten, en de hoek tussen schouder en onderarm is 100° - 110°. Voor werk wordt aanbevolen om speciale computertafels te gebruiken met uittrekbare planken voor het toetsenbord. Langdurig werken met het toetsenbord kan vermoeidheid van de pezen van het polsgewricht veroorzaken. Er is een ernstige beroepsziekte bekend: carpaal tunnelsyndroom, geassocieerd met een onjuiste handpositie op het toetsenbord. Om overmatige belasting van de hand te voorkomen, is het raadzaam een werkstoel te voorzien van armleuningen waarvan de hoogte, gemeten vanaf de vloer, samenvalt met de hoogte van het toetsenbord.
Wanneer u met de muis werkt, mag uw hand niet worden opgehangen. De elleboog of in ieder geval de pols moet stevige ondersteuning hebben. Als het moeilijk is om de noodzakelijke locatie van het bureaublad en de stoel te bepalen, wordt het aanbevolen om een muismat met een speciale steunrol te gebruiken. Er zijn vaak gevallen waarin, op zoek naar ondersteuning voor de hand (meestal de rechter), de monitor aan de zijkant van de gebruiker wordt geplaatst (respectievelijk aan de linkerkant), zodat hij half gedraaid werkt, waarbij hij de elleboog of pols laat rusten van de rechterhand op tafel.
4.1 Elektrische veiligheidseisen
Bij het gebruik van computertechnologie en randapparatuur moet elke werknemer zorgvuldig omgaan met elektrische bedrading, apparaten en apparatuur en altijd onthouden dat het negeren van veiligheidsregels zowel de menselijke gezondheid als het leven bedreigt.
Om elektrische schokken te voorkomen, moet u de volgende regels voor veilig gebruik van elektriciteit kennen en volgen:
1. Het is noodzakelijk om op uw werkplek voortdurend de goede staat van de elektrische bedrading, schakelaars, stopcontacten waarmee de apparatuur op het netwerk is aangesloten en de aarding te controleren. Als er een storing wordt gedetecteerd, schakel dan onmiddellijk de stroom naar de elektrische apparatuur uit en breng de administratie op de hoogte. Voortzetting van de werking is pas mogelijk nadat de storing is verholpen.
2. Om schade aan de draadisolatie en kortsluiting te voorkomen, is het volgende niet toegestaan:
a) hang iets aan draden;
b) snoeren en draden overschilderen en witter maken;
c) leg draden en snoeren achter gas- en waterleidingen, achter radiatoren van het verwarmingssysteem;
d) trek de stekker aan het snoer uit het stopcontact, er moet kracht worden uitgeoefend op het lichaam van de stekker.
3. Om elektrische schokken te voorkomen, is het verboden:
a) zet de computer vaak onnodig aan en uit;
b) raak het scherm en de achterkant van de computerblokken aan;
c) met natte handen aan computerapparatuur en randapparatuur werken;
d) werken aan computers en randapparatuur die schendingen van de integriteit van de behuizing hebben, schendingen van draadisolatie, defecte inschakelindicatie, met tekenen van elektrische spanning op de behuizing
e) plaats vreemde voorwerpen op computerapparatuur en randapparatuur.
4. Het is verboden om de functionaliteit van elektrische apparatuur te controleren in ruimtes die niet geschikt zijn voor gebruik met geleidende vloeren, die vochtig zijn en waar toegankelijke metalen onderdelen niet kunnen worden geaard.
5. Reparatie van elektrische apparatuur wordt uitsluitend uitgevoerd door gespecialiseerde technici in overeenstemming met de noodzakelijke technische vereisten.
6. Het is onaanvaardbaar om reparaties aan computers en randapparatuur uit te voeren terwijl deze onder spanning staan.
7. Om elektrische schokken te voorkomen, mag u bij het gebruik van elektrische apparaten niet tegelijkertijd pijpleidingen, verwarmingsradiatoren of metalen constructies aanraken die met de grond zijn verbonden.
8. Wees extra voorzichtig als u elektriciteit gebruikt in vochtige ruimtes.
9. Als er een draadbreuk wordt ontdekt, moet u de administratie hiervan onmiddellijk op de hoogte stellen en maatregelen nemen om te voorkomen dat mensen ermee in contact komen. Het aanraken van de draad is levensbedreigend.
10. De redding van een slachtoffer in geval van een elektrische schok hangt voornamelijk af van de snelheid waarmee hij wordt bevrijd van de effecten van elektrische stroom.
In alle gevallen waarin iemand een elektrische schok krijgt, dient u onmiddellijk een arts te raadplegen. Voordat de dokter arriveert, moet u beginnen met het verlenen van eerste hulp aan het slachtoffer zonder tijd te verspillen.
Het is noodzakelijk om onmiddellijk met kunstmatige beademing te beginnen, waarvan de meest effectieve de "mond-op-mond" of "mond-tot-neus" -methode is, evenals externe hartmassage.
Kunstmatige beademing wordt uitgevoerd voor de persoon die door de elektrische stroom wordt getroffen totdat de arts arriveert.
4.2 Eisen aan gebouwen
Het pand moet natuurlijke en kunstmatige verlichting hebben. Het plaatsen van werkplekken achter monitoren voor volwassen gebruikers in kelders is niet toegestaan.
De oppervlakte per werkplek met een computer voor volwassen gebruikers moet minimaal 6 m2 zijn en de inhoud minimaal -20 m3.
Kamers met computers moeten zijn uitgerust met verwarming, airconditioning of effectieve toevoer- en afvoerventilatiesystemen.
Voor de binnenhuisinrichting van kamers met computers moeten diffuus reflecterende materialen met een reflectiecoëfficiënt voor het plafond van 0,7-0,8 worden gebruikt; voor muren -- 0,5-0,6; voor de vloer - 0,3-0,5.
Het vloeroppervlak in computeroperatiekamers moet glad zijn, zonder gaten, antislip, gemakkelijk schoon te maken en nat te maken, en antistatische eigenschappen hebben.
Er moet een EHBO-doos en een kooldioxidebrandblusser in de kamer aanwezig zijn om een brand te blussen.
4.3 Brandveiligheidseisen
Het is verboden brandbare stoffen op de werkplek te hebben
Op het terrein is het volgende verboden:
a) een vuur aansteken;
b) schakel elektrische apparatuur in als de kamer naar gas ruikt;
c) rook;
d) droog iets op verwarmingsapparaten;
e) sluit ventilatiegaten in elektrische apparatuur
Ontstekingsbronnen zijn:
a) vonk als gevolg van ontlading van statische elektriciteit
b) vonken van elektrische apparatuur
c) vonken als gevolg van schokken en wrijving
d) open vuur
Als er brandgevaar of brand ontstaat, moet het personeel onmiddellijk de nodige maatregelen nemen om dit te elimineren en tegelijkertijd de administratie op de hoogte stellen van de brand.
Gebouwen met elektrische apparatuur moeten zijn uitgerust met brandblussers van het type OU-2 of OUB-3.
Conclusie
Tegenwoordig zijn draadloze netwerken wijdverspreid geworden, wat leidt tot de noodzaak om technologie te ontwikkelen voor het beschermen van informatie in draadloze netwerken.
Als resultaat van het onderzoek dat in dit afstudeerproject is uitgevoerd, kunnen de volgende conclusies worden getrokken:
Draadloze gegevensoverdracht omvat de mogelijkheid van ongeautoriseerde verbinding met toegangspunten, niet-vaste communicatie, afluisteren; hiervoor is het noodzakelijk om hoogwaardige beveiligingsmaatregelen te treffen, aangezien u verbinding kunt maken met het netwerk vanaf een auto die op straat geparkeerd staat.
Uit een softwareonderzoek bleek dat gespecialiseerde programma's zoals WEP en WPA worden gebruikt om draadloze netwerkinformatie te beschermen.
Het is het meest raadzaam om het WPA-programma te gebruiken om informatie van draadloze netwerken te beschermen, aangezien het WPA-programma de gegevensbeveiliging en toegangscontrole tot draadloze netwerken verbetert en encryptie ondersteunt in overeenstemming met de AES-standaard (Advanced Encryption Standard, een geavanceerde encryptiestandaard), die een sterker cryptografisch algoritme heeft.
Lijst met gebruikte bronnen
Aknorsky D. Een beetje over draadloze netwerken // Computer Price.-2003.-nr. 48.
Berlijn A.N. Telecommunicatienetwerken en apparaten. //Internet Universiteit voor Informatietechnologie - INTUIT.ru, BINOM. Knowledge Laboratory, 2008. - 319 pagina's Informatieoverdrachtsystemen. Lezing cursus. /S.V. Kunegin - M.: militaire eenheid 33965, 1998, - 316 p. met ziek.
DIY draadloos netwerk
Vishnevsky V.M., Lyakhov A.I., Portnoy S.L., Shakhnovich I.V. Breedband draadloze netwerken voor informatieoverdracht. - 2005. - 205 p.
Gegevensherstel op een draadloos netwerk //iXBT URL:http://www.ixbt.com/storage/faq-flash-p0.shtml
Gultyaev A.K. Data herstel. 2e druk. - Sint-Petersburg: Peter, 2006. - 379 p.:
Zorin M., Pisarev Yu., Solovyov P. Draadloze netwerken: huidige staat en vooruitzichten. - Aansluiten! // World of Communications, 1999. nr. 4. pagina. 104.
Zaidel I. Een flashdrive moet lang meegaan // R.LAB URL: http://rlab.ru/doc/long_live_flash.html
Zorin M., Pisarev Yu., Solovyov P. Radioapparatuur in het 2,4 GHz-bereik: uitdagingen en kansen // PCWeek/Russische editie.1999.No.20-21.p.
Christian Barnes, Tony Boates, Donald Lloyd, Erik Uhle, Jeffrey Poslans, David M. Zanjan, Neil O'Farrell, Bescherming tegen draadloze netwerkhackers. - Uitgever: IT Company, DMK press. - 2005. - 480 p.
Merritt Maxim, David Pollino., Draadloze netwerkbeveiliging. - 2004. - 288s
Molta D., Foster-Webster A. Testapparatuur voor draadloze LAN's van de 802.11-standaard // Netwerken en communicatiesystemen. 1999. Nr. 7. pagina.
Mitilino S. Beveiliging van draadloze netwerken //ITC-Online.-2003.-nr. 27 URL: http://itc.ua/node/14109
Norenkov, V.A. Trudonoshin - M.: Uitgeverij van MSTU im. N.E. Bauman, 1998. 232 p.
Olifer VG, Olifer NA Basisprincipes van datanetwerken. //Internet Universiteit voor Informatietechnologie - INTUIT.ru, 2005 - 176 pagina's.
Oleinik T. Draadloze netwerken: huidige staat en vooruitzichten.//Home PC.-2003.-nr. 10.
PC-3000 Flash//ACE Lab complexe software-URL: http://www.acelab.ru/dep.pc/pc3000.flash.php
Proletarsky AV, Baskakov IV, Chirkov D.N. Draadloze Wi-Fi-netwerken. - 2007. - 216s
Proletarski A.V., Baskakov IV, Fedotov R.A. Organisatie van draadloze netwerken. - Uitgever: Moskou. - 2006. - 181 p.
Sebastiaan Rapley. LAN zonder beperkingen // PC Magazine/Russische editie.1999.№12.p.105.
Stakhanov S. Wi-Fi-gegevensherstel // Stakhanov Data Recovery Center-URL: http://www.stahanov-rdc.ru/povrejdenie-flash.html
Draadloze netwerktechnologieën//iXBT URL:http://www.ixbt.com/storage/flash-tech.shtml
Hulpprogramma's voor gegevensherstel // ACE Data Recovery Center URL: http://www.datarec.ru/articles/article_10.php
Frank J. Derfler, Jr., Les Freed. Draadloze LAN's //PC Magazine/Russische editie.2000.No.6. .
Joeri Pisarev. Draadloze netwerken: op weg naar nieuwe standaarden // PC Magazine/Russische editie, 1999, nr. 10, blz. 184.
Joeri Pisarev. Beveiliging van draadloze netwerken // PC Magazine/Russische editie.1999.№12.page. 97.
Wifi. Draadloos netwerk
Wi-fu: "gevechts"-technieken voor het hacken en beschermen van draadloze netwerken
Lijst van afkortingen
WEP - Bekabelde gelijkwaardige privacy
WPA - Wi-Fi beveiligde toegang
ARP - Adresresolutieprotocol
AES - Geavanceerde coderingsstandaard
TKIP - Tijdelijk sleutelintegriteitsprotocol
Wi-Fi - Draadloze betrouwbaarheid
Bijlage A
Figuur 22 – WPA-beveiliging
Figuur 23 - Een veilig draadloos netwerk bouwen
Figuur 24 - Adapter met WPA-ondersteuning
Geplaatst op Allbest.ru
Soortgelijke documenten
Tijdens het onderzoek bepalen wat een effectieve manier is om informatie te beschermen die via een Wi-Fi-netwerk wordt verzonden. Principes van de werking van een Wi-Fi-netwerk. Methoden voor ongeautoriseerde toegang tot het netwerk. Beveiligingsalgoritmen voor draadloze netwerken. Onvast karakter van de verbinding.
cursuswerk, toegevoegd op 18-04-2014
Draadloze informatieoverdrachttechnologie. Ontwikkeling van draadloze lokale netwerken. WEP-beveiligingsstandaard. WEP-coderingsprocedure. Een draadloos netwerk hacken. Verborgen netwerk-ID-modus. Authenticatietypen en protocollen. Een draadloos netwerk hacken.
samenvatting, toegevoegd op 17-12-2010
Mechanismen voor het waarborgen van de informatiebeveiliging van bedrijfsnetwerken tegen bedreigingen van internet. Mechanisme voor informatiebescherming gebaseerd op het gebruik van firewalls. Principes voor het bouwen van veilige virtuele netwerken (met het SKIP-protocol als voorbeeld).
samenvatting, toegevoegd 01-02-2016
Ontwikkelingsperioden en basisnormen van moderne draadloze netwerken. Geschiedenis van het uiterlijk en de reikwijdte van Bluetooth-technologie. Technologie en werkingsprincipe van Wi-Fi draadloze datatransmissietechnologie. WiMAX is een stedelijke draadloze netwerkstandaard.
presentatie, toegevoegd op 22-01-2014
Kenmerken van informatiebeveiliging bij het bouwen van lokale netwerken van overheidsinstanties, analyse van een onbeschermd netwerkdiagram en identificatie van potentiële bedreigingen voor de informatiebeveiliging, kenmerken van softwarebeschermingstools die VPN-technologie implementeren.
cursuswerk, toegevoegd op 21-06-2011
Het probleem van informatiebeveiliging. Kenmerken van informatiebescherming in computernetwerken. Bedreigingen, aanvallen en kanalen voor informatielekken. Classificatie van methoden en middelen om de veiligheid te garanderen. Netwerkarchitectuur en de bescherming ervan. Methoden voor het garanderen van netwerkbeveiliging.
proefschrift, toegevoegd op 16-06-2012
Kenmerken van de IEEE 802.11-standaard. De belangrijkste toepassingsgebieden van draadloze computernetwerken. Methoden voor het bouwen van moderne draadloze netwerken. Basisservicegebieden van BSS. Typen en variëteiten van verbindingen. Overzicht van mediatoegangsmechanismen.
samenvatting, toegevoegd 12/01/2011
Beschrijving van de belangrijkste kwetsbaarheden van Wi-Fi-technologie voor informatieoverdracht: aanvallen, cryptoveiligheidsbedreigingen, anonimiteit. Principes en methoden om de veiligheid van draadloze netwerken te garanderen. Technologieën voor de integriteit en vertrouwelijkheid van gegevens die via het netwerk worden verzonden.
test, toegevoegd op 25-12-2014
Vergelijkende kenmerken van protocollen voor het organiseren van draadloze netwerken. ZigBee-netwerkstructuur en topologie, IEEE 802.15.4 standaardspecificatie. Opties voor ZigBee hardwareoplossingen op chips van diverse fabrikanten en programmeertechnologie.
proefschrift, toegevoegd op 25-10-2013
Doelanalyse van netwerkontwerp. Ontwikkeling van een topologisch model van een computernetwerk. Testen van schakelapparatuur. Kenmerken van clientapparaten. Vereisten voor dekking en snelheid van gegevensoverdracht. Soorten beveiligingsbedreigingen voor draadloze netwerken.
11.06.2014
Wi-Fi-technologie is ontwikkeld op basis van de IEEE 802.11-standaard en wordt gebruikt om draadloze breedbandcommunicatienetwerken te creëren die werken in openbaar beschikbare frequentiebanden zonder licentie. Vanuit veiligheidsoogpunt moet rekening worden gehouden met de signaaloverdrachtomgeving - in draadloze netwerken is het veel gemakkelijker om toegang te krijgen tot verzonden informatie dan in bekabelde netwerken, waarvoor u alleen maar de antenne in het signaalvoortplantingsgebied hoeft te plaatsen.
Er zijn twee hoofdopties voor het creëren van een draadloze netwerktopologie:
- Ad-hoc – rechtstreekse overdracht tussen apparaten;
- Hotspot – verzending vindt plaats via een toegangspunt.
Hotspotnetwerken hebben een toegangspunt, waardoor niet alleen interactie binnen het netwerk plaatsvindt, maar ook toegang tot externe netwerken. Hotspot is van het grootste belang vanuit het oogpunt van informatiebeveiliging, omdat een aanvaller door het hacken van een toegangspunt niet alleen informatie kan verkrijgen van stations die zich in dit draadloze netwerk bevinden.
Om gegevens op Wi-Fi-netwerken te beschermen, worden toegangsbeperking, authenticatie en encryptiemethoden gebruikt.
Methoden voor toegangsbeperking omvatten het filteren van MAC-adressen en het gebruik van de verborgen SSID-modus (Service Set IDentifier) van het draadloze netwerk.
Filteren kan op drie manieren:
- Met het toegangspunt kunnen stations met elk MAC-adres toegang krijgen;
- Het toegangspunt geeft alleen toegang tot stations waarvan de MAC-adressen in de vertrouwde lijst staan;
- Het access point ontkent de toegang aan stations waarvan de MAC-adressen op de zwarte lijst staan.
De verborgen SSID-modus is afhankelijk van het feit dat het toegangspunt periodiek bakenframes verzendt om zichzelf te detecteren. Elk dergelijk frame bevat service-informatie voor de verbinding en in het bijzonder is de SSID aanwezig. In het geval van een verborgen SSID is dit veld leeg, d.w.z. Het is onmogelijk om een draadloos netwerk te detecteren en er verbinding mee te maken zonder de SSID-waarde te kennen. Maar alle stations op het netwerk die met het toegangspunt zijn verbonden, kennen de SSID en wanneer er verbinding wordt gemaakt, geven ze, wanneer er Probe Request-verzoeken worden verzonden, de netwerkidentificaties aan die beschikbaar zijn in hun verbindingsprofielen. Door naar het werkverkeer te luisteren, kunt u eenvoudig de SSID-waarde verkrijgen die nodig is om verbinding te maken met het gewenste toegangspunt.
Wi-Fi-netwerken bieden twee authenticatieopties:
Open Authenticatie, wanneer het werkstation een authenticatieverzoek doet dat alleen het MAC-adres van de client bevat. Het toegangspunt reageert met een weigering of bevestiging van de authenticatie. De beslissing wordt genomen op basis van MAC-filtering, d.w.z. Dit is in wezen een toegangsbeperkte bescherming, die niet veilig is.
Shared Key Authentication, waarbij gebruik wordt gemaakt van een statische WEP-coderingssleutel (Wired Equivalent Privacy). De client doet een verzoek tot authenticatie bij het toegangspunt, waarvoor hij een bevestiging ontvangt die 128 bytes aan willekeurige informatie bevat. Het station codeert de ontvangen gegevens met het WEP-algoritme (bitsgewijze modulo 2-optelling van de berichtgegevens met de sleutelreeks) en verzendt de cijfertekst samen met het associatieverzoek. Het toegangspunt decodeert de tekst en vergelijkt deze met de originele gegevens. Als er een match is, wordt er een koppelingsbevestiging verzonden en wordt de client geacht verbonden te zijn met het netwerk. Het authenticatieschema met gedeelde sleutels is kwetsbaar voor Maninthemiddle-aanvallen. Het WEP-coderingsalgoritme is een eenvoudige XOR van een sleutelreeks met nuttige informatie. Door naar het verkeer tussen het station en het toegangspunt te luisteren, kunt u een deel van de sleutel herstellen.
De organisatie WECA (Wi-Fi Alliance) heeft samen met IEEE de WPA-standaard (Wi-Fi Protected Access) aangekondigd. WPA maakt gebruik van TKIP (Temporal Key Integrity Protocol), dat een geavanceerde manier gebruikt om sleutels te beheren en de sleutel frame voor frame te wijzigen. WPA gebruikt ook twee authenticatiemethoden:
Authenticatie met behulp van een vooraf geïnstalleerde sleutel WPA-PSK (Pre-Shared Key);
Verificatie met behulp van een RADIUS-server (Remote Access Dial-in User Service).
Wi-Fi-netwerken gebruiken de volgende coderingsmethoden:
WEP-codering is een analoog van verkeerscodering in bekabelde netwerken. Er wordt gebruik gemaakt van het symmetrische stroomcijfer RC4 (Rivest Cipher 4), dat vrij snel werkt. Momenteel worden WEP en RC4 niet als cryptoveilig beschouwd.
TKIP-codering - gebruikt hetzelfde RC4-symmetrische stroomcijfer, maar is veiliger. Alle wijzigingen en verbeteringen in aanmerking genomen, wordt TKIP nog steeds niet als cryptografisch veilig beschouwd.
CKIP-codering (Cisco Key Integrity Protocol) is vergelijkbaar met het TKIP-protocol. Het CMIC-protocol (Cisco Message Integrity Check) wordt gebruikt om de integriteit van berichten te controleren.
WPA-codering – in plaats van de kwetsbare RC4 wordt het veilige AES-coderingsalgoritme (Advanced Encryption Standard) gebruikt. Het is mogelijk om het EAP-protocol (Extensible Authentication Protocol) te gebruiken. Er zijn twee modi: Pre-Shared Key (WPA-PSK) - elk knooppunt voert een wachtwoord in om toegang te krijgen tot het netwerk en Enterprise - de verificatie wordt uitgevoerd door RADIUS-servers.
WPA2-codering (IEEE 802.11i) - aangenomen in 2004, sinds 2006 moet WPA2 alle geproduceerde Wi-Fi-apparatuur ondersteunen. Dit protocol maakt gebruik van RSN (Robust Security Network). In eerste instantie gebruikt WPA2 het CCMP-protocol (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, een blokcoderingsprotocol met een berichtauthenticatiecode en block and counter chaining-modus). De basis is het AES-algoritme. Voor compatibiliteit met oudere apparatuur is er ondersteuning voor TKIP en EAP (Extensible Authentication Protocol) met enkele toevoegingen. Net als WPA zijn er twee werkingsmodi: Pre-Shared Key en Enterprise.
WiMAX
Beveiligingsproblemen in WiMAX-netwerken gebaseerd op de IEEE 802.16-standaard, evenals in Wi-Fi-netwerken (IEEE 802.11), zijn zeer acuut vanwege het gemak waarmee verbinding met het netwerk kan worden gemaakt.
De IEEE 802.16-standaard definieert het Privacy and Key Management Protocol (PKM), een privacy- en sleutelbeheerprotocol. Wat we in feite bedoelen is vertrouwelijkheid, niet privacy.
In WiMAX-netwerken is het concept van veilige communicatie (Security Association, SA) een eenrichtingsverbinding om veilige gegevensoverdracht tussen netwerkapparaten te garanderen. SA's zijn er in twee soorten:
Data Security Association, beveiligde communicatie voor gegevensoverdracht;
Authorization Security Association, beveiligde communicatie voor autorisatie.
Veilige communicatie voor gegevensoverdracht bestaat op zijn beurt uit drie typen:
Primair (primaire SA);
Statisch (Statische SA);
Dynamisch (dynamische SA).
De primaire beveiligde verbinding wordt tijdens het initialisatieproces door het abonneestation tot stand gebracht. Het basisstation zorgt dan voor statisch beveiligde communicatie. Wat betreft dynamische, beveiligde verbindingen: deze worden tot stand gebracht en vernietigd als dat nodig is voor servicestromen. Zowel statische als dynamische beveiligde communicatie kan één zijn voor meerdere abonneestations.
Veilige communicatie voor gegevens wordt gedefinieerd:
- 16-bits communicatie-identificatie;
- De versleutelingsmethode die wordt gebruikt om de gegevens in de verbinding te beschermen;
- Twee verkeersencryptiesleutels (TEK, verkeersencryptiesleutel), de huidige en degene die zal worden gebruikt wanneer de huidige TEK verloopt;
- Twee twee-bits identificatiegegevens, één voor elke TEK;
- TEK-levensduur, die kan variëren van 30 minuten tot 7 dagen en standaard is ingesteld op 12 uur;
- Twee 64-bits initialisatievectoren, één per TEK (vereist voor het DES-coderingsalgoritme);
- Indicator van het type verbinding (primair, statisch of dynamisch).
Abonneestations hebben doorgaans één beveiligde datalink voor het secundaire beheerkanaal; en ofwel één beveiligde dataverbinding voor de verbinding in beide richtingen (Uplink en Downlink), ofwel één beveiligde dataverbinding voor de verbinding van het basisstation naar het abonneestation en één voor de retour.
Het abonneestation en het basisstation delen één beveiligde verbinding om autorisatie uit te voeren. Het basisstation gebruikt deze beveiligde communicatie om beveiligde communicatie voor gegevensoverdracht te configureren.
- een X.509-certificaat dat het abonneestation identificeert, evenals een X.509-certificaat dat de fabrikant van het abonneestation identificeert;
- 160-bit autorisatiesleutel (AK), gebruikt voor authenticatie tijdens TEK-sleuteluitwisseling;
- 4-bit autorisatiesleutelidentificatie;
- De levensduur van de autorisatiesleutel, die een waarde kan hebben van 1 dag tot 70 dagen en de standaardwaarde is ingesteld op 7 dagen;
- 128-bit Key Encryption Key (KEK), gebruikt voor het coderen en distribueren van TEK-sleutels;
- HMAC-sleutel voor downlink-berichten tijdens TEK-sleuteluitwisseling;
- HMAC-sleutel voor uplink-berichten tijdens TEK-sleuteluitwisseling;
- De lijst met data-SA's waarvoor dit abonneestation geautoriseerd is.
KEK wordt als volgt berekend:
- Het hexadecimale getal 0x53 wordt 64 keer aaneengeschakeld met zichzelf, wat resulteert in 512 bits;
- Op basis van dit getal wordt de SHA-1-hashfunctie berekend, wat resulteert in 160 bits uitvoer;
- De eerste 128 bits worden als KEK genomen, de rest wordt weggegooid.
HMAC-sleutels worden als volgt berekend:
- Voegt het hexadecimale getal 0x3A (Uplink) of 0x5C (Downlink) 64 keer aan zichzelf toe;
- Aan de rechterkant bevindt zich de autorisatiesleutel;
- Op basis van dit getal wordt de SHA-1-hashfunctie berekend, wat resulteert in 160 bits uitvoer - dit is de HMAC-sleutel.
WiMAX-netwerken gebruiken de volgende authenticatieprotocollen:
- Extensible Authentication Protocol (EAP) is een protocol dat een flexibeler authenticatieschema beschrijft dan X.509-certificaten. Het werd geïntroduceerd als aanvulling op de IEEE 802.16e-standaard. EAP-berichten worden rechtstreeks in controleframes gecodeerd. In dit verband zijn twee nieuwe berichten PKM EAP-verzoek (EAP-verzoek) en PKM EAP-antwoord (EAP-antwoord) toegevoegd aan het PKM-protocol. De IEEE 802.16e-standaard specificeert geen specifieke EAP-authenticatiemethode, en dit gebied wordt momenteel actief onderzocht.
- Privacy and Key Management Protocol (PKM Protocol) is een protocol voor het verkrijgen van autorisatie- en coderingssleutels voor TEK-verkeer.
De IEEE 802.16-standaard gebruikt het DES-algoritme in cipher block chaining-modus om gegevens te coderen. DES wordt nu als onveilig beschouwd, dus heeft de IEEE 802.16e-standaard AES toegevoegd voor gegevensversleuteling.
De 802.16e-standaard specificeert het gebruik van AES-codering in vier modi:
- Cipher Block Chaining (CBC, cipher block chaining-modus);
- Tegenversleuteling (CTR, tegenversleuteling);
- Counter Encryption met Cipher Block Chaining berichtauthenticatiecode (CCM) voegt de mogelijkheid toe om de authenticiteit van een gecodeerd bericht te verifiëren aan de CTR-modus;
- Elektronisch codeboek (ECB, elektronische codeboekmodus), gebruikt om TEK-sleutels te coderen.
De volgende kwetsbaarheden in de IEEE 802.16-standaard kunnen worden verholpen:
- Aanvallen op de fysieke laag, zoals signaalstoring die leidt tot toegangsweigering of frame flooding, gericht op het leegmaken van de batterij van het station. Er zijn momenteel geen effectieve manieren om dergelijke bedreigingen tegen te gaan.
- Zelfbenoemde basisstations, wat te wijten is aan het ontbreken van een basisstationcertificaat. De standaard laat een duidelijke asymmetrie zien in authenticatievraagstukken. Een voorgestelde oplossing voor dit probleem is een Wireless Key Management Infrastructure (WKMI), gebaseerd op de IEEE 802.11i-standaard. Deze infrastructuur beschikt over wederzijdse authenticatie met behulp van X.509-certificaten.
- Een kwetsbaarheid die verband houdt met het niet-willekeurig genereren van autorisatiesleutels door het basisstation. Wederzijdse deelname van de basis- en abonneestations zou dit probleem mogelijk kunnen oplossen.
- Mogelijkheid om TEK-sleutels waarvan de levensduur al is verstreken, opnieuw te gebruiken. Dit komt door de zeer kleine omvang van het EKS-veld van de TEK-sleutelindex. Aangezien de langste levensduur van een autorisatiesleutel 70 dagen is, dat wil zeggen 100.800 minuten, en de kortste levensduur van een TEK-sleutel 30 minuten is, is het vereiste aantal mogelijke TEK-sleutelidentificatoren 3360. Dit betekent dat het aantal vereiste bits voor het EKS-veld is 12.
- Een ander probleem houdt, zoals reeds vermeld, verband met de onveiligheid van het gebruik van DES-encryptie. Met een vrij lange levensduur van de TEK-sleutel en intensieve berichtenuitwisseling vormt de mogelijkheid om het cijfer te breken een reële bedreiging voor de veiligheid. Dit probleem is opgelost met de introductie van AES-codering in een wijziging van de IEEE 802.16e-standaard. Een groot aantal gebruikers beschikt echter nog over apparatuur die alleen de oude IEEE 802.16-standaard ondersteunt.
LTE
De architectuur van LTE-netwerken (Long Term Evolution) verschilt sterk van het ontwerp dat wordt gebruikt in bestaande 3G-netwerken. Dit verschil creëert een noodzaak om beveiligingsmechanismen aan te passen en te verbeteren. De belangrijkste vereiste voor beveiligingsmechanismen blijft het garanderen van minimaal hetzelfde beveiligingsniveau dat al bestaat in 3G-netwerken. De belangrijkste wijzigingen en toevoegingen om aan de nieuwe eisen te voldoen, zijn als volgt geformuleerd:
- Hiërarchische sleutelinfrastructuur, waarbinnen verschillende sleutels worden gebruikt om verschillende problemen op te lossen;
- Scheiding van beveiligingsmechanismen voor de niet-toegangslaag (NAS), die de communicatie ondersteunt tussen het netwerkkernknooppunt en de mobiele terminal (UE), en beveiligingsmechanismen voor de toegangslaag (AS), die interactie biedt tussen netwerkeindapparatuur (inclusief een set NodeBs (eNB)) en mobiele terminals;
- Het concept van preventieve beveiliging, dat de omvang van de schade kan verminderen die wordt veroorzaakt wanneer sleutels in gevaar komen;
- Beveiligingsmechanismen toevoegen voor gegevensuitwisseling tussen 3G- en LTE-netwerken.
Momenteel worden verschillende beveiligingsmechanismen voor 3G-netwerken op grote schaal gebruikt om de vertrouwelijkheid van gebruikersgegevens, abonneeauthenticatie en vertrouwelijkheid van gegevens bij verzending via de U-Plane (gebruikersgegevens) en C-Plane (controlegegevens) protocollen te garanderen, evenals uitgebreide bescherming van het C-protocol -Plane bij gebruik in combinatie met andere internationale uitwisselingsstandaarden. Er zijn vier hoofdvereisten voor de beveiligingsmechanismen van LTE-technologie:
- Zorg voor minimaal hetzelfde beveiligingsniveau als in netwerken zoals 3G, zonder overlast voor gebruikers te veroorzaken;
- Bescherming bieden tegen internetaanvallen;
- Beveiligingsmechanismen voor LTE-netwerken mogen geen belemmeringen opwerpen voor de migratie van 3G naar LTE;
- Bied de mogelijkheid tot verder gebruik van de hardware- en softwaremodule USIM (Universal Subscriber Identity Module, universele SIM-kaart).
De laatste twee punten worden geleverd met behulp van het 3GPP AKA-mechanisme (Authentication and Key Agreement). De beveiligingsvereisten voor de Evolved Packet Core-component, d.w.z. tot de kern van het LTE-netwerk kan worden uitgevoerd met behulp van Secure Domain-technologie (NDS - Network Domain Security) op netwerkniveau, zoals beschreven in de TS33.210-standaard, maar ook voor 3G-netwerken.
Omdat in de LTE-technologie echter een deel van de functionaliteit van radionetwerkcontrollers (RNC's) in de eNB is geïntegreerd, kunnen oplossingen die binnen 3G-netwerken van toepassing zijn, niet rechtstreeks naar LTE-netwerken worden overgedragen. eNB-basisstations slaan de coderingssleutel bijvoorbeeld alleen op voor de duur van de communicatiesessie met de mobiele terminal. Dat wil zeggen dat, in tegenstelling tot 3G-netwerken, de encryptiesleutel voor het sluiten van controleberichten niet in het geheugen wordt opgeslagen als er geen communicatie met de mobiele terminal tot stand is gebracht. Bovendien kunnen LTE-netwerkbasisstations worden geïnstalleerd in onbeschermde gebieden om dekking te bieden aan binnenruimtes (bijvoorbeeld kantoren), waardoor naar verwachting het risico op ongeautoriseerde toegang daartoe zal toenemen. Daarom zijn de hieronder beschreven tegenmaatregelen specifiek ontworpen om de schade te minimaliseren die wordt veroorzaakt als belangrijke informatie uit basisstations wordt gestolen.
Om gegevens in LTE-netwerken te sluiten, wordt stream-encryptie gebruikt door een pseudo-willekeurige reeks (PRS) toe te passen om informatie te openen met behulp van de XOR-operator (exclusieve of), evenals in 3G-netwerken. Het belangrijkste punt in het schema is het feit dat de pseudo-willekeurige reeks nooit wordt herhaald. De algoritmen die worden gebruikt in 3G- en LTE-netwerken produceren een pseudo-willekeurige reeks van eindige lengte. Ter bescherming tegen botsingen verandert de sleutel die wordt gebruikt om de PRP te genereren daarom regelmatig, bijvoorbeeld wanneer verbinding wordt gemaakt met het netwerk, tijdens verzending, enz. In 3G-netwerken vereist het genereren van een sessiesleutel het gebruik van een Authentication and Key Exchange (AKA)-mechanisme. Het AKA-mechanisme kan een fractie van een seconde nodig hebben om de sleutel in de USIM-applicatie te genereren en een verbinding tot stand te brengen met het Enrollment Center (HSS). Om de datatransmissiesnelheid van LTE-netwerken te bereiken, is het dus noodzakelijk om de functie voor het bijwerken van sleutelinformatie toe te voegen zonder het AKA-mechanisme te initialiseren. Om dit probleem binnen het raamwerk van LTE-technologie op te lossen, wordt voorgesteld om een hiërarchische sleutelinfrastructuur te gebruiken, weergegeven in figuur 5.
Figuur 5 – Toepassing van hiërarchische sleutelinfrastructuur om de veiligheid in LTE-netwerken te garanderen
Net als bij 3G-netwerken distribueren de USIM-applicatie en het Authentication Center (AuC) de sleutels vooraf (sleutel K). Wanneer het AKA-mechanisme wordt geïnitialiseerd om tweerichtingsauthenticatie van de gebruiker en het netwerk uit te voeren, worden een encryptiesleutel CK en een algemene beveiligingssleutel gegenereerd, die vervolgens worden verzonden van de USIM-software naar de mobiele apparatuur (ME) en van de Authenticatie Centrum voor het Inschrijvingscentrum (HSS). De Mobiele Apparatuur (ME) en het Registratiecentrum (HSS) genereren met behulp van het sleutelpaar (CK; IK) en de ID van het gebruikte netwerk de KASME-sleutel. Door de afhankelijkheid van de sleutel vast te stellen van het netwerk-ID garandeert het Registratiecentrum dat de sleutel alleen binnen dit netwerk kan worden gebruikt. Vervolgens wordt KASME overgebracht van het Registratiecentrum naar het mobiele beheerapparaat (MME) van het huidige netwerk, waar het als hoofdsleutel wordt gebruikt. Op basis van KASME wordt de KNASenc-sleutel gegenereerd, die nodig is om NAS-protocolgegevens tussen het Mobile Device (UE) en de Mobile Management Unit (MME) te versleutelen, en de KNASint-sleutel, die nodig is om de integriteit te beschermen. Wanneer een mobiele eenheid (UE) verbinding maakt met het netwerk, genereert de MME een KeNB-sleutel en verzendt deze naar de basisstations. Op zijn beurt wordt de KeNB-sleutel gebruikt om de KUPenc-sleutel te genereren, die wordt gebruikt om gebruikersgegevens van het U-Plane-protocol te coderen, de KRRCenc-sleutel voor het RRC-protocol (Radio Resource Control - een protocol voor interactie tussen mobiele apparaten en basisstations ), en de KRRClint-sleutel, ontworpen om de integriteit te beschermen.
Er is ook een scheiding van beveiligingsmechanismen tussen de Non-Access Layer (NAS) en de Access Layer (AS). Omdat wordt aangenomen dat grote hoeveelheden gegevens alleen kunnen worden verzonden als het mobiele apparaat (UE) is verbonden, brengt het LTE-netwerk alleen voor verbonden mobiele apparaten een veilige verbinding tot stand tussen het mobiele apparaat (UE) en het basisstation (eNB). Daarom hoeft het mobiele apparaat in de inactieve modus zijn status op het basisstation niet te behouden. Omdat berichten uit de Non-Access Layer (NAS)-laag in de inactieve modus naar het mobiele apparaat worden verzonden, wordt er een veilig NAS-laagkanaal tot stand gebracht tussen het mobiele apparaat en het kernknooppunt van het netwerk, d.w.z. mobiel beheerapparaat (MME). Nadat het mobiele apparaat is geverifieerd, slaat het mobiele besturingsapparaat de hoofdsleutel van het huidige KASME-netwerk op. Beveiligingsfuncties op NAS-niveau initiëren encryptie en uitgebreide bescherming van de NAS-verbinding met behulp van KNASenc- en KNASint-sleutels. Op dit punt moet het mobiele beheerapparaat (MME) bepalen van welk mobiel apparaat het authenticatieverzoek afkomstig is. Dit is nodig voor de juiste selectie van sleutels voor het decoderingsalgoritme en het controleren van de integriteit van de verzonden gegevens. Omdat de UE ID (IMSI)-parameter moet worden beschermd wanneer deze via het radionetwerk wordt verzonden, is voor LTE-technologie voorgesteld om in plaats daarvan de tijdelijke GUTI-parameter (Mobile Operator Temporary Identifier) te gebruiken. De GUTI-waarde verandert periodiek, waardoor het onmogelijk is om bij te houden welke waarde een specifiek mobiel apparaat gebruikt.
Zodra het mobiele apparaat in de activiteitsmodus komt, initialiseert het basisstation de beveiligingsmechanismen van de toegangslaag (AS - AccessStratum) met behulp van speciale opdrachten. Vanaf dit punt controleren beveiligingsmechanismen elke interactie tussen het apparaat en het basisstation. De algoritmen die worden gebruikt om de beveiliging van de toegangslaag te bieden, worden onafhankelijk geselecteerd uit de lijst met algoritmen die worden gebruikt voor de niet-toegangslaag. Voor landen die het versleutelen van informatie verbieden, bestaat er een regime dat zorgt voor het tot stand brengen van een betrouwbare verbinding zonder gegevens uit te sluiten.
In LTE-netwerken zijn coderingsalgoritmen en uitgebreide beveiliging gebaseerd op Snow 3G-technologie en de AES-standaard. Naast deze twee algoritmen maakt de 3GPP-technologie gebruik van twee extra algoritmen, zodat zelfs als een van de algoritmen wordt gehackt, de overige algoritmen de veiligheid van het LTE-netwerk moeten garanderen.
Lijst met gebruikte literatuur:
"Draadloze netwerkbeveiliging". S.V. Gordeychik, V.V. Dubrovin, Hotline – Telecom, 2008
Fernandez, E.B. & VanHilst, M., Hoofdstuk 10 “An Overview of WiMAX Security” in “WiMAX Standards and Security” (Bewerkt door M. Ilyas & S. Ahson), CRC Press, juni 2007
"Gegevensbescherming in LTE-netwerken." Gebaseerd op materialen van het bedrijf CJSC "Perspective Monitoring"
480 wrijven. | 150 UAH | $7.5 ", MOUSEOFF, FGCOLOR, "#FFFFCC",BGCOLOR, "#393939");" onMouseOut="return nd();"> Proefschrift - 480 RUR, aflevering 10 minuten, de klok rond, zeven dagen per week en op feestdagen
Nikonov, Vjatsjeslav Igorjevitsj. Methodologie voor het beschermen van informatie in draadloze netwerken op basis van dynamische verkeersroutering: proefschrift... Kandidaat Technische Wetenschappen: 05.13.19 / Nikonov Vyacheslav Igorevich; [Plaats van verdediging: Vol. staat Universiteit voor besturingssystemen en radio-elektronica (TUSUR) RAS] - Tomsk, 2010. - 119 p.: ill. RSL buitendiameter, 61 11-5/934
Invoering
HOOFDSTUK I. Analyse van kwetsbaarheden en methoden om informatie te beschermen tijdens verzending in gedistribueerde draadloze netwerken 11
1.1 Draadloze netwerken van de volgende generatie 11
1.2 Bedreigingen voor informatie in gedistribueerde computernetwerken 15
1.2.1 Actieve netwerkaanvallen 16
1.2.2 Bijzonderheden van aanvallen op draadloze netwerken 21
1.3 Methoden voor het beschermen van informatie in draadloze netwerken 25
1.3.2 Technologieën voor gegevensbescherming 32
1.4 Doelstellingen van het proefschriftonderzoek 39
1.5 Conclusies 40
HOOFDSTUK II. Ontwikkeling van een methodologie voor het beschermen van informatie tijdens transmissie in gedistribueerde draadloze netwerken op basis van dynamische verkeersroutering 42
2.1 Verkeersmultiplexsysteem 42
2.2 Gerouteerde dienst 45
2.2.1 Algemene werkingsprincipes 46
2.2.2 Methodologie voor het beschermen van informatie tijdens verzending in een draadloos gedistribueerd netwerk 49
2.2.3 Dynamisch verkeersrouteringsalgoritme 53
2.2.4 Toepassing van de ontwikkelde methodiek 57
2.3 Analyse van de effectiviteit van de ontwikkelde beschermingsmethode 64
2.3.1 Kansmogelijkheden 64
2.3.2 Beoordeling van de waarschijnlijkheid van een eerste klas dreiging 64
2.3.3 Beoordeling van de waarschijnlijkheid van een tweederangsdreiging 66
2.3.4 Algoritme voor het genereren van een aanvalsstroom 68
2.4 Conclusies 71
HOOFDSTUK III. Implementatie van software om verzonden informatie te beschermen 73
3.1 Implementatie van het softwarepakket 73
3.2 Experimentele implementatie en vergelijking met routeringsprotocollen 81
3.3 Experimenteel onderzoek naar methoden 84
3.4 Conclusies 92
Conclusie 94
Referenties 95
Inleiding tot het werk
Relevantie van het werk. De ontwikkeling van de informatietechnologie brengt urgente problemen met zich mee bij het vergroten van de betrouwbaarheid van het functioneren van computernetwerken. Om dergelijke problemen op te lossen is het noodzakelijk om bestaande netwerkprotocollen en netwerkarchitecturen te bestuderen en manieren te ontwikkelen om de veiligheid te verbeteren bij het verzenden van informatiebronnen via het netwerk.
Door draadloze technologieën te kiezen, kunt u voordelen behalen op het gebied van snelheid en mobiliteit. De opkomst van een nieuwe klasse draadloze breedbandnetwerken met een mesh-structuur (mesh-netwerken) heeft het mogelijk gemaakt het informatiedekkingsgebied aanzienlijk te vergroten. Het belangrijkste voordeel van deze klasse van netwerken is de aanwezigheid van speciale apparaten - mesh-portals, die het mogelijk maken andere draadloze netwerken (WiMAX, Wi-Fi, GSM) en internet in het mesh-netwerk te integreren, en daardoor de gebruiker allerlei soorten mogelijkheden bieden van diensten uit deze netwerken.
De nadelen van mesh-technologie zijn onder meer het feit dat mesh-netwerkrouteringsprotocollen zeer specifiek zijn en dat de ontwikkeling ervan een complexe taak is met veel criteria en parameters. Tegelijkertijd vereisen bestaande protocollen aanzienlijke verbeteringen in termen van het vergroten van de veiligheid en betrouwbaarheid van informatieoverdracht.
Netwerkaanvallen, storingen en storingen in netwerkapparatuur zijn de belangrijkste factoren die de veiligheid van informatieoverdracht in gedistribueerde draadloze netwerken beïnvloeden. Het probleem van het waarborgen van de veiligheid van informatieoverdracht in gedistribueerde draadloze netwerken werd behandeld door I. Akyildiz, W. Wang, X. Wang, T. Dorges, N. Ben Salem. Het waarborgen van de veiligheid van de informatieoverdracht op een computernetwerk betekent het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid ervan.
Onder de methoden om de beschikbaarheid van informatie in draadloze netwerken te garanderen, benadrukken onderzoekers de combinatie van verschillende methoden van controle, duplicatie en redundantie. De integriteit en vertrouwelijkheid van informatie in draadloze netwerken wordt gewaarborgd door methoden voor het construeren van virtuele kanalen op basis van het gebruik van cryptografische hulpmiddelen.
Een algemeen nadeel van deze methoden is een afname van de netwerkprestaties die gepaard gaat met de vereisten voor aanvullende verwerking van verzonden informatie. Dit nadeel is vooral van cruciaal belang voor de overdracht van digitale video-informatie. Bovendien vermindert de verbetering van cryptanalysemethoden in toenemende mate de betrouwbaarheid van bestaande cryptografische algoritmen.
Uit het bovenstaande volgt dat het noodzakelijk is om nieuwe methoden te ontwikkelen voor het beschermen van informatie tijdens verzending in gedistribueerde draadloze netwerken onder invloed van opzettelijke aanvallen. In dit opzicht is het onderwerp van het werk relevant en praktisch belangrijk.
Doel proefschrift werk is de ontwikkeling van een methodologie voor het beschermen van informatie tijdens de verzending in gedistribueerde draadloze netwerken
over het gebruik van een dynamisch verkeersrouteringsalgoritme onder invloed van opzettelijke aanvallen.
Doelstellingen van de taak
І І I Analyse van IEEE 802.11-standaardaanbevelingen voor informatiebeveiliging in gedistribueerde draadloze netwerken.
ZI Studie van dynamische verkeersrouteringsalgoritmen in
gedistribueerde netwerken.
ZI Onderzoek naar informatiebeveiligingsmethoden in gedistribueerde draadloze netwerken
bekabelde netwerken.
ik ik ik Onderzoek naar soorten aanvallen in gedistribueerde computernetwerken, analyse van de bijzonderheden van aanvallen in draadloze netwerken.
ik ik ik Ontwikkeling van een algoritme voor dynamische routering van informatie tijdens verzending in gedistribueerde draadloze netwerken onder invloed van opzettelijke aanvallen.
ZI Ontwikkeling op basis van het “routeerbare” applicatie-algoritme
service”, die een methodologie implementeert voor het beschermen van informatie tijdens verzending in gedistribueerde draadloze netwerken.
JV Implementatie van softwaremodules voor “routable service”
overdracht van informatie.
ZI Onderzoek naar mogelijkheden voor de impact van netwerkaanvallen op ‘routing
gecontroleerde dienst.” Berekening van schattingen van succesvolle implementaties van netwerkaanvallen op verzonden informatie in het geval van gebruik van een “routable service”.
ik ik ik Ontwikkeling van een algoritme voor het genereren van een stroom netwerkaanvallen.
DZO Ontwikkeling van een prototype van een “routable service” voor het experimenteel testen van de voorgestelde beveiligingstechniek.
Objecten van onderzoek zijn computernetwerken, gedistribueerde draadloze netwerken met een mesh-structuur (mesh-netwerken), processen voor het verzenden van informatie en processen voor het implementeren van verschillende soorten aanvallen op verzonden informatie en netwerkapparaten in gedistribueerde draadloze netwerken.
Onderwerpen van onderzoek: IEEE 802.11-groepsstandaarden, netwerkaanvallen, methoden om informatie in draadloze netwerken te beschermen, algoritmen voor dynamische verkeersroutering in draadloze netwerken.
Onderzoeksmethoden. Het proefschriftwerk maakt gebruik van methoden van wiskundige modellering, grafentheorie, verzamelingenleer, waarschijnlijkheidstheorie en wiskundige statistiek. Om de verkregen theoretische resultaten te bevestigen, werden experimentele studies en modellering uitgevoerd met behulp van de programmeeromgevingen Visual Basic Script, Windows Management Instrumentarium, Shell, Awk.
Geloofwaardigheid wetenschappelijke uitspraken, conclusies en aanbevelingen worden bevestigd door de juiste formulering van problemen, de nauwkeurigheid van het toegepaste wiskundige apparaat, de resultaten van numerieke modellering, positieve resultaten
de resultaten van het testen van een programma dat de voorgestelde methode implementeert om informatie te beschermen tijdens verzending in draadloze netwerken.
Wetenschappelijke nieuwigheid. De volgende wetenschappelijke resultaten werden verkregen in het proefschriftwerk.
Er wordt een methode voorgesteld voor het beschermen van informatie in gedistribueerde draadloze netwerken, gebaseerd op het gebruik van een “routable service”-applicatie.
Er is een algoritme ontwikkeld voor het dynamisch routeren van informatie tijdens verzending in gedistribueerde draadloze netwerken onder invloed van opzettelijke aanvallen.
Opties voor het implementeren van de impact op het ontwikkelde systeem worden beschreven. Er worden beoordelingen gegeven van de succesvolle implementatie van netwerkaanvallen op verzonden informatie in het geval van het gebruik van een “routable service”. Er is een algoritme ontwikkeld om een stroom netwerkaanvallen te genereren.
De softwaremodules van het prototype “routable service” zijn geïmplementeerd en getest in een gedistribueerd netwerk.
Praktische betekenis bevestigd door het testen van een prototype van het ontwikkelde systeem in een gedistribueerd netwerk. De resultaten van het proefschriftonderzoek werden bekroond met een P-diploma tijdens de IX All-Russische competitie voor studenten en studenten in informatiebeveiliging “SIBINFO-2009”.
De ontwikkelde methodologie werd geïntroduceerd in de informatieoverdrachtsystemen van OJSC Omskvodokanal en de staatsonderwijsinstelling voor hoger beroepsonderwijs Omsk State Technical University. De resultaten van het proefschrift worden gebruikt in het onderwijsproces van de staatsonderwijsinstelling voor hoger beroepsonderwijs "Omsk State Technical University".
De methodologie voorgesteld in het proefschrift kan gebruikt worden als basis voor verder onderzoek.
Goedkeuring van werk. De resultaten van het werk werden gepresenteerd op wetenschappelijke conferenties en seminars.
IX Volledig Russische competitie van studenten en afgestudeerde studenten op het gebied van informatiebeveiliging “SIBINFO-2009”, P-diploma. (2009, Tomsk).
VIII Siberisch wetenschappelijk schoolseminar met internationale deelname “Computerbeveiliging en cryptografie - SYBECRYPT-09” (2009, Omsk).
VII Internationale Wetenschappelijke en Technische Conferentie “Dynamiek van systemen, mechanismen en machines” (2009, Omsk).
IV Wetenschappelijke en praktische conferentie van jonge specialisten van de West-Siberische Bank van de Sberbank van Rusland “Moderne ervaring in het gebruik van informatietechnologieën in de banksector” (2008, Tyumen).
All-Russische wetenschappelijke en technische conferentie “Jong Rusland: geavanceerde technologieën in de industrie” (2008, Omsk).
Conferentiewedstrijd “Microsoft Technologies in the Theory and Practice of Programming” (2008, Novosibirsk).
Publicaties. De resultaten van het proefschrift zijn terug te vinden in 15 publicaties, waaronder twee publicaties in publicaties aanbevolen door de Higher Attestation Commission.
Structuur en reikwijdte van het werk. Het proefschrift bestaat uit een inleiding, drie hoofdstukken, een conclusie, een lijst met referenties en drie bijlagen. Het totale werkvolume bedraagt 116 pagina's, inclusief 26 figuren en 3 tabellen. De bibliografie omvat 82 titels.
Persoonlijke bijdrage
Al het onderzoek dat in het proefschrift wordt gepresenteerd, werd door de auteur uitgevoerd in het kader van wetenschappelijke activiteit. Alle ter verdediging ingediende resultaten zijn door de auteur persoonlijk verkregen, geleend materiaal is in het werk aangegeven met referenties.
Belangrijkste bepalingen ter verdediging ingediend
Een techniek voor het beschermen van informatie in gedistribueerde draadloze netwerken, gebaseerd op het gebruik van een “routable service”-applicatie.
Een algoritme voor het dynamisch routeren van informatie tijdens verzending in gedistribueerde draadloze netwerken onder invloed van opzettelijke aanvallen.
Beoordelingen van succesvolle implementatie van netwerkaanvallen op verzonden informatie in het geval van het gebruik van een “routable service”. Algoritme voor het genereren van een stroom netwerkaanvallen.
Software-implementatie van “routable service”-modules voor informatieoverdracht en experimentele verificatie van de ontwikkelde methodologie.
Bijzonderheden over aanvallen op draadloze netwerken
Het concept van een draadloos netwerk introduceert een groot aantal mogelijke kwetsbaarheden voor aanvallen en inbraken die veel moeilijker zouden zijn op een standaard bekabeld netwerk. Experts zeggen dat de belangrijkste factor die de specifieke kenmerken van aanvallen op draadloze netwerken beïnvloedt, de beschikbaarheid van het fysieke medium voor gegevensoverdracht is: radiolucht. De soorten aanvallen zijn dezelfde als bij klassieke netwerken: denial-of-service-aanvallen, man-in-the-middle-aanvallen, ARP-spoofing-aanvallen, afluisteren; maar er zijn veel meer manieren om deze aanvallen uit te voeren dan via bekabelde netwerken.
Vanwege de aard van radiogolven als informatiedrager en vanwege de structuur van de onderliggende protocollen van de 802.11-standaard kunnen draadloze netwerken niet worden beschermd tegen DoS-aanvallen op de eerste laag en tegen sommige DoS-aanvallen op de tweede laag. . Een aanvaller kan eenvoudig een apparaat maken dat interferentie genereert op een bepaalde frequentie (bijvoorbeeld 2,4 GHz), waardoor het onmogelijk wordt om gegevens via dat kanaal te verzenden. Een ‘jammer’ kan een speciaal ontworpen zender zijn of een krachtige draadloze clientkaart, of zelfs een toegangspunt dat geselecteerde kanalen overspoelt met ‘junk’-verkeer. Bovendien zal het behoorlijk moeilijk zijn om het feit van een opzettelijke DoS-aanval te bewijzen. Op de datalinklaag van de OSI-stack is het mogelijk om talloze manieren te laten zien om DoS-aanvallen uit te voeren, die veel gemakkelijker te implementeren zullen zijn dan dezelfde aanvallen op conventionele bekabelde netwerken. Een van de meest gebruikte technieken om de verbindingslaag aan te vallen is diversiteitsantennecontrole. Deskundigen wijzen ook op een soort DoS-aanval op de datalinklaag, die bestaat uit het overspoelen van nepframes. Om deze aanval op de host te implementeren, wordt met behulp van speciale software een stroom frames gegenereerd met verzoeken om de sessie te beëindigen en de verbinding te verbreken.
Man-in-the-middle-aanvallen, die doorgaans in twee varianten voorkomen op draadloze netwerken: afluisteren en manipulatie, zijn ook veel gemakkelijker uit te voeren op draadloze netwerken. Een van de mechanismen voor het implementeren van dit type aanval wordt beschreven in. De aanvaller op zijn werkstation imiteert een toegangsknooppunt met een sterker signaal dan het echte toegangsknooppunt. De draadloze client schakelt automatisch over naar het nieuwe toegangsknooppunt en stuurt al zijn verkeer ernaartoe. Op zijn beurt verzendt de aanvaller dit verkeer naar het echte toegangsknooppunt onder het mom van een clientwerkstation.
Vanuit het oogpunt van een aanvaller geldt: hoe hoger het uitgangsvermogen en de ontvangstgevoeligheid van draadloze apparatuur, hoe beter. Hoe groter het uitgangsvermogen, hoe groter de kans om vanaf grotere afstand verbinding te maken met het doelnetwerk, hoe gemakkelijker het is om een aanval uit te voeren. Aan de andere kant: hoe groter de ontvangstgevoeligheid, hoe gemakkelijker het is om een draadloos netwerk te detecteren, hoe sneller de verbindingssnelheid en hoe meer verkeer kan worden onderschept en geanalyseerd.
Er zijn subtiele aanvalsmogelijkheden die misbruik maken van de instellingen van sommige Layer 2-parameters in 802.11-netwerken, zoals de energiebesparende modus en virtuele carrier-detectie (RTS/CTS-protocol). Bij aanvallen gericht op de energiebesparende modus kan een aanvaller zich voordoen als een client in de slaapmodus en de weergave controleren van de frames die zijn verzameld door het toegangspunt van het slachtoffer. Zodra de client de frames ophaalt, maakt het toegangspunt de buffer leeg. Het blijkt dat de echte klant nooit de daarvoor bestemde frames zal ontvangen. In plaats daarvan kan een aanvaller Traffic Indication Map (TIM)-frames vervalsen die door het toegangspunt worden verzonden. Ze vertellen klanten in de winterslaap dat er nieuwe gegevens voor hen zijn binnengekomen, dus het is tijd om wakker te worden en deze op te halen. Als een aanvaller erin slaagt een client in de slaapmodus te laten geloven dat er geen nieuwe gegevens op het toegangspunt staan, zal de client nooit meer uit deze modus ontwaken. DoS-aanvallen tegen netwerken die virtuele carrierdetectie implementeren, zijn feitelijk aanvallen op het prioriteitsalgoritme. Een aanvaller kan het netwerk overspoelen met Request to Send (RTS) door het veld ‘transmissieduur’ op een grote waarde in te stellen, en daardoor fysieke media voor zijn verkeer reserveren, waardoor andere hosts de toegang tot het communicatiekanaal wordt ontzegd. Het netwerk wordt overspoeld met Clear to Send (CTS)-frames die worden verzonden als reactie op elk RTS-frame. Hosts op het draadloze netwerk worden gedwongen de instructie te volgen en te stoppen met verzenden.
Een aparte groep omvat aanvallen gericht op het hacken van cryptografische beveiligingsalgoritmen die in draadloze netwerken zijn geïmplementeerd. Het WEP-beveiligingsprotocol (Wired Equivalent Privacy) is het eerste beveiligingsprotocol dat wordt beschreven door de IEEE 802.11-standaard. Een van de meest bekende en gerapporteerde kwetsbaarheden in draadloze netwerken in WEP is het authenticatieschema. Het gebruik van WEP betekent dat elk pakket wordt gecodeerd met behulp van een RC4-stroomcodering, die wordt gedecodeerd wanneer het het toegangspunt bereikt. WEP gebruikt een geheime sleutel voor het coderen en combineert deze met een stuk gegevens van 24 bits, een zogenaamde initialisatievector (IV). Omdat WEP 24 bits gebruikt om de IV te berekenen, zal de IV uiteindelijk herhaald worden bij gebruik van een netwerk met veel verkeer. Dienovereenkomstig zullen de sleutelstromen hetzelfde zijn en hoeft de aanvaller alleen maar datapakketten gedurende een bepaalde periode te verzamelen en een speciaal programma uit te voeren dat speciaal is gemaakt voor het kraken van WEP-sleutels.
Momenteel zijn er vier soorten tools voor het kraken van cijfers in draadloze netwerken: 1) tools voor het kraken van het WEP-protocol; 2) middelen voor het ophalen van WEP-sleutels die zijn opgeslagen op clienthosts; 3) middelen voor het injecteren van verkeer om het kraken van WEP te versnellen; 4) middelen om authenticatiesystemen aan te vallen die zijn gedefinieerd in de 802.1x-standaard. Een beschrijving van deze methoden en hulpmiddelen voor hun implementatie wordt in detail gegeven door A.A. Vladimirov.
Methodologie voor het beschermen van informatie tijdens verzending in een draadloos gedistribueerd netwerk
Het originele bericht is een bericht dat via het netwerk wordt verzonden met behulp van de in het werk voorgestelde methode, geïmplementeerd in dit systeem.
Demultiplexer (D) is een module die verantwoordelijk is voor het verdelen van de binnenkomende gegevens (het oorspronkelijke bericht) in projecties en het verzenden ervan. Aan de demultiplexer kunnen ook de functies worden toegewezen van het bepalen van de toestand van het netwerk op basis van de toestanden van bepaalde systeemcomponenten, zoals transmissiebuffers en bepaalde servicesignalen (bevestigingen).
Multiplexer (M) - een module die de omgekeerde functies van een demultiplexer uitvoert. Deze module verzamelt projecties (datafragmenten) die via verschillende kanalen worden verzonden in één stroom en vormt zo het oorspronkelijke bericht. Net als een demultiplexer is een multiplexer in staat bepaalde gebeurtenissen in het netwerk te detecteren op basis van de status van de stromen die het netwerk binnenkomen. Zender (Ff, і є) - een module die verantwoordelijk is voor de gegevensdoorvoer. De zender implementeert ook bepaalde logica die nodig is voor de correcte werking van de algoritmen van de multiplexer en demultiplexer. Demultiplexer, multiplexer en zender zijn de belangrijkste componenten van het systeem. Fysiek apparaat - een computer waarop een softwaretoepassing van een multiplexer, zender, demultiplexer of meerdere toepassingen tegelijkertijd wordt uitgevoerd. Het logische communicatiekanaal tussen apparaten is een logische verbinding van het TCP- of UDP-protocol. Een fysiek kanaal is een afzonderlijk, speciaal gedeelte voor IP-datatransmissie, dat een fysiek transmissiemedium vertegenwoordigt. In één fysiek kanaal kunnen meerdere logische kanalen en verschillende TCP- of UDP-verbindingen worden gevormd. Het datatransmissiegebied is een reeks logische componenten van het systeem, die een complete, onafhankelijke functionele eenheid vormen. De zone zorgt voor de distributie, transmissie en verzameling van gegevens. Elke zone bevat een multiplexer, een demultiplexer en ten minste een paar zenders. Datatransmissietak is een reeks logische apparaten die zijn aangesloten volgens het volgende schema: demultiplexer - zender(s) - multiplexer. Het hoofddoel van de demultiplexer- en multiplexercomponenten is het scheiden en verzamelen van gegevens. Bovendien verzenden en ontvangen deze componenten verdeelde gegevens. De meest voor de hand liggende optie voor het implementeren van een systeem op een IP-netwerk bevindt zich op de sessielaag van het OSI-model. Voor de juiste werking is het dus noodzakelijk om tussencomponenten te gebruiken: zenders. Ze fungeren als knooppunten waartussen logische verbindingen tot stand worden gebracht. Na het verwerken van gegevens op de applicatielaag van de TCP- of UDP-stack, worden de pakketten overgebracht naar de IP-netwerklaag. In de header van het ontvangen IP-pakket bevat het zenderveld het IP-adres van de demultiplexer, en het ontvangerveld het IP-adres van de zender. Dankzij deze implementatie zijn “globale adressen” verborgen, d.w.z. het adres van de eindbestemming en het adres van het apparaat dat de gegevens oorspronkelijk heeft verzonden. Bij het onderscheppen en analyseren van een pakket in de zender-multiplexersectie kan het demultiplexeradres dus niet worden bepaald. Dit wordt duidelijk weergegeven in de headers van het IP-pakket terwijl het van demultiplexer naar multiplexer gaat. Nergens in de kopjes Als de multiplexer en demultiplexer rechtstreeks met elkaar zouden samenwerken, zou het door het onderscheppen van een afzonderlijk pakket mogelijk zijn om de adressen van de demultiplexer en multiplexer te bepalen, wat onaanvaardbaar is. Ook in dit geval zou het onmogelijk zijn om kanaaldiversiteit uit te voeren, aangezien afzonderlijke logische stromen langs hetzelfde fysieke pad zouden worden verzonden (routeerd). De voorgestelde oplossing houdt in dat de beveiliging van informatie bij ongeautoriseerde toegang tot het transmissiemedium wordt vergroot op basis van beschikbare fysieke middelen. Een karakteristiek kenmerk van het systeem is dat het volledig gebonden is aan de eigenschappen van het transmissiemedium en de topologie van de netwerkstructuur, waarbij het vertrouwt op de aanwezigheid van structurele redundantie, wat vooral kenmerkend is voor internet. Er wordt voorgesteld om het “demultiplexer – zenders – multiplexer”-systeem te verbeteren door een tool te ontwikkelen waarmee zenders automatische “intelligente” routering kunnen uitvoeren. De implementatie van deze aanpak bestaat uit het installeren van een ‘routable service’-applicatie op de zender, die de werking van routeringsprotocollen voor gelabelde informatie corrigeert. Het verkeersmultiplexsysteem is kwetsbaar voor de klasse van actieve netwerkaanvallen die in het eerste hoofdstuk worden beschreven. Laten we nog eens kijken naar een van de actieve netwerkaanvallen: een aanval gebaseerd op snuiven (Fig. 8). Een aanvaller die weet dat een bepaalde organisatie regelmatig gegevens van A naar G verzendt, kan op tijdstip At vrij nauwkeurig de route van A naar G bepalen en deze op sommige verkeersroutes onderscheppen. F1, F2, F3yF4J75 - zenders van het verkeersmultiplexsysteem, als het wordt gebruikt in een gedistribueerd netwerk, of in het algemene geval, sommige knooppuntservers die nodig zijn voor een ruimtelijke weergave van de verkeersroute. Door traceerpakketten te verzenden, bepaalde de indringer op tijdstip At de verkeersroute (weergegeven in stippellijnen) en lanceerde hij een aanval op een gecontroleerde router in sectie F2F5. Er is een “routed service” (SM)-toepassing ontwikkeld om de beveiliging van informatieoverdracht in gedistribueerde draadloze netwerken onder invloed van actieve aanvallen te verbeteren. SM is een client-serverapplicatie waarmee de gebruiker gegevens via een specifieke route kan overbrengen.
Het beoordelen van de waarschijnlijkheid dat een tweederangsdreiging wordt gerealiseerd
De volgende parameters zijn ingesteld voor dit algoritme. Fs = (Fsi, Fs2, -, FSj, .... FSF) - een set vertrouwde netwerkservers. F - \FS\ - aantal vertrouwde netwerkservers. ta is de duur van één type aanval op een vertrouwde server. иj - herhalingsperiode van de aanval. u2 - periode van blokkering van de vertrouwde server. k - aantal soorten aanvallen. i, j, t zijn hulpvariabelen.
De volgende functies en procedures worden geïntroduceerd. CurrentTime() is een functie die de huidige tijd retourneert in het formaat “dd.mm.jjjj uu24:mi:ss”. een functie die een pseudo-willekeurig geheel getal genereert met behulp van de randomisatiebewerking, behorend tot het interval x = 1; Unblock) is een procedure die de FjB-server naar de “beschikbare” modus schakelt. Aj(Fj) is de verdelingsfunctie van een discrete willekeurige variabele “het resultaat van een aanval op server F”, waarbij de kans op het aannemen van de waarde 1 (aanval succesvol) gelijk is aan Pi en de kans op het aannemen van de waarde 0 (aanval mislukt). ) gelijk aan 1 -/?,-. Pauze( ) - een procedure die een pauze implementeert voor een tijd t; een functie die de status van de server Fj retourneert (beschikbaar - 0; geblokkeerd - 1); Block(i x) is een functie die server F in de “geblokkeerde” modus zet en de huidige tijd in het formaat “dd.mm.jjjj hh24:mi:ss” retourneert naar variabele x. Met behulp van de randomisatiebewerking worden één van de vertrouwde netwerkservers en één type netwerkaanval geselecteerd. Er wordt een experiment uitgevoerd A,(FSj) - “aanval op de server FSj”, gedefinieerd door een discrete willekeurige variabele met de verdeling “de waarschijnlijkheid van het accepteren van de waarde 1 (succes) is gelijk aan /?,-, de waarschijnlijkheid van het accepteren van de waarde 0 (storing) is gelijk aan 1-/?,” Ja. Als dit lukt, wordt de server geblokkeerd en is deze gedurende een bepaalde periode niet beschikbaar. i2. Wat de kwetsbaarheid voor basistypen aanvallen betreft, verschilt een vertrouwde server niet van een reguliere gedistribueerde netwerkserver, waartoe de aanvaller in eerste instantie geen toegang heeft. Om een vertrouwde server met succes aan te vallen, kan een aanvaller profiteren van de volgende kwetsbaarheden: ongedocumenteerde fouten in het besturingssysteem van de server, fouten in hulpprogramma's, fouten in het serverbeheer. Verschillende soorten kwetsbaarheden leiden tot de mogelijkheid om verschillende soorten bedreigingen te implementeren: verlies van vertrouwelijkheid, Denial of Service-aanvallen, uitvoering van ongeautoriseerde code op de server, enz. Hoe meer kwetsbaarheden, hoe gemakkelijker het is om de server aan te vallen. Dienovereenkomstig kunnen we een bepaalde serverkwetsbaarheidscoëfficiënt invoeren pj є F , j є )
